如何使赛门铁克证书继续受信


杰里米·罗利是 DigiCert 的产品执行副总裁,他解答了有关客户如何使其赛门铁克证书继续受信的常见问题。

DigiCert 收购赛门铁克的网络安全业务后,市面上流传着浏览器的失信时间计划会影响赛门铁克证书的错误信息。阅读本文后,您就会详细了解浏览器的失信时间计划将对您和您的企业带来哪些影响,以及为继续受信您需要采取哪些措施(如果有)。

谷歌浏览器 (Chrome ) 从何时开始对赛门铁克根证书失信?
有些客户问,他们是否需要在 12 月 1 日前重新颁发他们所有的赛门铁克证书——不需要。谷歌浏览器对赛门铁克证书失信的时间计划如下所示:

  • 2017 年 12 月 1 日:自该日期起,谷歌要求赛门铁克根证书不得再颁发 TLS 证书,此证书必须由其他认证机构 (CA) 颁发。自 12 月 1 日起,DigiCert 将负责为网络安全客户颁发所有证书。该日期只是赛门铁克证书的验证和颁发业务正式向 DigiCert 系统迁移的截止日期,无需在该日期前作出即时证书变更。自该日期起,赛门铁克的客户可开始申请免费替换证书。这些替换后的证书将在自颁发至证书有效期到期的期限内保持有效
  • ~2018 年 3 月 15 日:谷歌浏览器测试版将对 2016 年 6 月 1 日前赛门铁克颁发的证书失信。谷歌浏览器预计将于 2018 年 4 月 17 日公开发行。
  • ~2018 年 9 月 13 日:谷歌浏览器测试版将对赛门铁克颁发的所有证书失信。谷歌浏览器预计将于 2018 年 10 月中旬公开发行。
  • 此次收购会对持有赛门铁克证书的客户造成什么样的影响,他们需要采取哪些措施?

    如上述时间计划所示,赛门铁克颁发的 TLS 证书将于 2018 年 3 月 15 日或 9 月 13 日失信(取决于这些证书在 2016 年 6 月 1 日之前或之后颁发)。客户将需要重新颁发这些受影响的证书。DigiCert 将联系客户,告知他们哪些 TLS 证书受到了影响,以及这些证书需要重新颁发的时间。DigiCert 将免费为客户替换受影响的证书。

    注:赛门铁克的客户无需转换至新平台,可以继续用他们的赛门铁克控制台订购和重新颁发证书。自 2017 年 12 月 1 日起,所有证书都将由 DigiCert 根证书颁发,DigiCert 根证书将继续受信。

    简而言之,向 DigiCert 迁移 SSL 验证、颁发和其他过程,为赛门铁克的客户提供了一种使其 SSL 证书继续受信的方式。赛门铁克的客户可以放心,他们的网站安全不会受到影响。

    为确保赛门铁克证书的重新颁发过程顺利进行,DigiCert 正在采取哪些措施?

    甚至在 DigiCert 收购赛门铁克网站安全业务之前,赛门铁克就已经选择由 DigiCert 根据浏览器的要求运营次级认证机构 (Sub CA)。因此,DigiCert 早已开始整合其验证和颁发系统。
    为在浏览器规定的截止日期前完成相关工作,我们正在采取以下措施:

  • 用 DigiCert 的运营和基础设施平台替换赛门铁克的后台。这种方式可以确保我们能够用赛门铁克的现有前台、工作流程和面向客户的运营方式,最早于 2017 年 12 月 1 日开始替换受赛门铁克根证书失信计划影响的赛门铁克证书。
  • 为新的根证书结构和交叉签名中间证书创建一条路径。新基础设施用于实现在所有大型平台普遍受信,同时符合浏览器 2018 年秋季的失信计划。
  • 用 DigiCert 目前使用的验证过程替换赛门铁克的验证过程。
  • 准备(免费)替换受浏览器要求影响的赛门铁克证书。我们将最早于 2017 年 12 月 1 日着手此项工作。
  • DigiCert 将如何通过其基础设施处理这些新增业务量?

    虽然几年前还未考虑此次收购交易,但我们的准备工作在那时就已经开始了,我们对后台进行了重构,创建出一套可扩展的基础设施和一个更加强大的验证过程。之所以进行那次重构,是因为连接设备(也就是通常所指的物联网)导致证书的需求量激增。

    客户未来应该对 DigiCert 抱有什么样的期望?

    我们决不辜负客户、合作伙伴和安全社区对我们的信任。我们感谢客户和合作伙伴对我们表现出来的十足耐心,也很高兴能够继续携手前行。我们始终都以客户为中心,并与安全社区团结协作。我们将继续保持前台和后台工作的透明度。我们渴望增强我们与客户之间建立的信任关系。

    DigiCert 具备处理新增业务量的资源、能力和基础设施。我们希望能够为赛门铁克的客户提供最满意的网络安全产品。DigiCert 重视人才,推崇卓越运营,这为我们积累了庞大、忠实的客户群。