2018 年 4 月 4 日,星期三
透過 Google 安全性網誌同步發布。
如同先前的公告所說,我們計劃停止 Chrome 對賽門鐵克的憑證授權單位 (包括賽門鐵克旗下品牌,例如 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL) 的信任。本文的目的是針對這項異動,協助網站經營者判斷自己的網站是否受到影響,以及何時該採取什麼行動。如果不換掉這類憑證,當使用者透過各大瀏覽器 (包括 Chrome) 新推出的版本瀏覽您的網站時,就可能看到網站損壞的情況。
Chrome 66
如果您的網站使用了賽門鐵克在 2016 年 6 月 1 日前發行的 SSL/TLS 憑證,就無法在 Chrome 66 中順利運作,而您的使用者很可能已受到影響。
如果您不確定自己的網站是否使用這類憑證,可以透過 Chrome Canary 預覽本次異動實施後的結果,看看網站是否會受到影響。如果在連線至您的網站時出現憑證錯誤,或是 DevTools 顯示下圖的警告訊息,就表示您必須更換憑證。您可以向任何信任的 CA 索取新憑證 (包括最近才收購賽門鐵克 CA 業務的 Digicert)。
由於 Chrome Canary 版和開發人員版均已更新至 66 版,所以現在當使用者透過這兩種 Chrome 版本開啟受影響的網站,已經無法再順利瀏覽。如果受影響的網站未在 2018 年 3 月 15 日前更換憑證,Chrome Beta 版使用者也將在這些網站上遇到同樣的問題。因此,如果您在 Chrome Canary 中開啟自己的網站會收到錯誤訊息,強烈建議您儘快更換憑證。
Chrome 70
從 Chrome 70 版開始,現存的所有賽門鐵克 SSL/TLS 憑證都會失效,並導致出現和上圖一樣的憑證錯誤。如要檢查您的憑證是否受到影響,請立即透過 Chrome 前往您的網站,然後開啟開發人員工具。如果您在控制台中看到下方的訊息,就表示需要更換憑證。
如果您在開發人員工具中看到這則訊息,表示您最好儘快更換憑證。若是不更換憑證,最快從 2018 年 7 月 20 日開始,使用者就會在您的網站上看到憑證錯誤訊息。我們將在 2018 年 9 月 13 日前後首度推出 Chrome 70 Beta 版。
Chrome 版本預計發布時間表
下方是 Canary 版、Beta 版和穩定版首度推出 Chrome 66 和 70 版的時間表。第一個受影響的版本應該是 Canary 版,接著是影響範圍逐漸擴大的 Beta 版,直到最後推出的穩定版。我們強烈建議網站經營者提早對網站進行必要調整,最好能夠在 Canary 版首度推出 Chrome 66 和 70 版之前完成相關作業,最晚不要超過相應的 Beta 版發布日期。
| 版本 | Canary 版 | 測試版 | 穩定版 |
| Chrome 66 | 2018 年 1 月 20 日 | ~ 2018 年 3 月 15 日 | ~ 2018 年 4 月 17 日 |
| Chrome 70 | ~ 2018 年 7 月 20 日 | ~ 2018 年 9 月 13 日 | ~ 2018 年 10 月 16 日 |
如要進一步瞭解特定 Chrome 版本的發布時間表,您也可以瀏覽 Chromium 開發日曆;該版本會在發布時間表變更時更新。
為了回應特定企業使用者的需求,Chrome 也將導入相關企業政策,方便管理員停用從 Chrome 66 開始停止信任的賽門鐵克舊版 PKI。這項政策可以一直用到 2019 年 1 月 1 日,此後 Chrome 將完全停止信任賽門鐵克的舊版 PKI。
Chrome 65 特別說明
如同先前的公告所說,賽門鐵克的舊版 PKI 在 2017 年 12 月 1 日之後發行的 SSL/TLS 憑證已不再受到信任,但由於這類憑證必須與 DigiCert 簽訂特別協議才能取得,所以應該不會影響到大多數的網站經營者。Chrome 65 無法存取使用這類憑證的網站服務,並會封鎖相關要求。如要避免出現這類錯誤,請確認網站只會對舊裝置提供這類憑證,不會對 Chrome 之類的瀏覽器提供。