替换您的赛门铁克SSL/TLS证书

针对赛门铁克、Thawte、GeoTrust与RapidSSL

在2017年7月底前,谷歌Chrome制定了一项计划,旨在(通过在Chrome浏览器中显示安全警告的方式)先减少再取消对赛门铁克、Thawte、GeoTrust与RapidSSL颁发的所有SSL/TLS证书的信任。谷歌将这一时间表划分为3个重要日期。2017年12月1日,2018年3月15日,以及2018年9月13日。第一个日期是2017年12月1日,不需要您采取任何行动。 然而,对于2018年的日期,您必须替换受影响的证书以避免谷歌Chrome浏览器的安全警告。请阅读这些日期与Chrome时间表的详细信息。

新的信任链

DigiCert已经接管了所有赛门铁克网站安全SSL/TLS证书的验证和颁发。这包括赛门铁克及其子CA的证书:Thawte,GeoTrust和RapidSSL。 从今往后,所有新的网站安全证书与重新颁发的网站安全证书都由DigiCert(使用我们受信任的根证书之一)颁发并受到谷歌Chrome的信任。

DigiCert创建的新证书链不会干扰浏览器对您的现有证书的信任。此证书链为您的替换证书建立谷歌Chrome(与其他浏览器)对证书的信任。

步骤1:制定替换受影响证书的计划

为了避免谷歌Chrome浏览器显示您的SSL/TLS证书不受信任或不安全等安全警告,请在适当的日期之前替换受影响的网站安全SSL/TLS证书:2018年3月15日或2018年9月13日,具体取决于您的证书的颁发时间。请立即制定计划并确保为证书颁发与证书安装留出足够的时间。

免费进行证书替换

DigiCert将免费替换所有受影响的证书。此外,您不需要切换到新的帐户/平台。请继续使用您现有的赛门铁克帐户来替换并订购您的SSL/TLS证书。

2018年3月15日

在2018年3月15日或2018年3月15日前后,Chrome beta版将不信任所有在2016年6月1日之前颁发的赛门铁克SSL/TLS证书。
谷歌计划在2018年4月17日发布公开版本。

行动:如果您的SSL/TLS证书在2016年6月1日之前颁发并将于2018年3月15日或2018年3月15日之后到期,那么请在2018年3月15日之前替换证书。

请不要等到2018年3月才替换受影响的证书。我们在颁发证书之前需要验证域名与组织。请不要忘记,您需要时间来安装新的证书,以使您的网站避免谷歌Chrome安全警告

2018年9月13日

在2018年9月13日或2018年9月13日前后,Chrome beta版将不信任所有在2016年6月1日之后颁发的赛门铁克SSL/TLS证书。谷歌计划在2018年10月中旬发布公开版本。

行动:如果您的SSL/TLS证书在2016年6月1日之后(且在2017年12月1日之前)颁发并将于2018年9月13日或2018年9月13日之后到期,那么请在2018年9月13日之前替换证书。

请不要等到2018年9月才替换受影响的证书。我们在颁发证书之前需要验证域名与组织。请不要忘记,您需要时间来安装新的证书,以使您的网站避免谷歌Chrome安全警告。

步骤2:帮助确保域名与组织准备就绪

为了满足谷歌Chrome对SSL/TLS证书替换的要求,DigiCert必须对DV、OV与EV证书的所有域名重新进行验证/重新进行身份验证。DigiCert还必须在OV与EV证书所需的范围内对组织重新进行验证/重新进行身份验证。

无论如何,我们将对您的域名与组织进行验证/身份验证,以使我们能够为您颁发替换证书。然而,这些操作有助于缩短验证您的域名与组织的时间:

  • 证实您拥有域名的控制权(所有证书替换)

    在我们颁发证书之前,您必须证明您拥有与证书替换请求相关的域名的控制权。这一过程被称为域名控制权验证或DCV。默认的DCV方法是电子邮件验证。

    电子邮件验证流程的工作原理如下:DigiCert向公开列于WHOIS记录上的注册所有者发送授权电子邮件。我们还可以把授权电子邮件发送至此域名的五个已创建的电子邮件地址:每个公共域名的admin @,administrator@,webmaster@,hostmaster@和postmaster@帐户。

    请注意:DigiCert不会把授权电子邮件发送给证书申请者或账户管理员。
    此电子邮件包含完成您的域名控制权验证/身份验证的指导说明。

    The email contains instructions to complete your domain control validation/authentication.

  • 接听验证/身份验证电话(OV与EV替换)

    确保有人知晓DigiCert将会给经过验证的电话号码致电以完成组织验证/身份验证。通常在提出替换证书请求的24小时内致电。
  • 提供组织的法定注册名称(OV与EV替换)

    确保为您的OV或EV证书提供组织的法定注册名称以进行验证/身份验证。如果所提供的组织名称不正确,那么DigiCert将需要在之后要求提供该名称。例如,如果公司的法定注册名称是My Company,Inc.,那么MYCO不正确。
  • 创建第三方线上存在状态(OV与EV替换)

    在申请OV与EV证书时,让您的组织拥有在线存在状态非常重要(法定名称、地址与电话)。您可以通过将您的组织列入第三方企业目录(例如Google My BusinessDun & Bradstreet来做到这一点。

步骤3:替换您的赛门铁克(及子CA)SSL/TLS证书

此指导说明概述了证书替换的步骤。如需更多详细信息,请参阅文末所列的参考资料。

  1. 登录您现有的赛门铁克、Thawte,GeoTrust或RapidSSL帐户。
  2. 找到您需要替换的证书。
  3. 创建CSR(证书签名请求)。
  4. 选择替换/重新颁发证书选项。
  5. 提交您的替换/重新颁发请求
  6. 一旦DigiCert对您的域名与组织重新进行了验证/重新进行了身份验证(根据证书类型的要求),我们将重新颁发您的替代证书。
  7. 安装您的赛门铁克SSL/TLS证书

针对各个品牌的证书替换指导说明

Symantec™ | 全面网站安全
赛门铁克Managed PKI for SSL
赛门铁克信任中心
赛门铁克信任中心企业
Thawte证书中心(TCC)
Thawte证书中心企业(TCCE)
GeoTrust安全中心(GSC)
GeoTrust企业安全中心(GESC)
RapidSSL安全中心

有关3年期证书的建议

我们建议在2018年3月1日之前替换您的3年期证书,以使您获得完整的证书有效期。自2018年3月1日起,证书颁发机构将不再颁发3年期的OV与DV证书。 此外,无论证书订单上有多少剩余时间, 2018年2月28日之后颁发的所有OV与DV替换证书的最长有效期只有825天。请参阅公告:缩短OV与DV证书的最长有效期。