替換您的賽門鐵克SSL/TLS憑證

針對賽門鐵克、Thawte、GeoTrust與RapidSSL

在2017年7月底前,Google Chrome制定了一項計畫,旨在(透過在Chrome瀏覽器中顯示安全警告的方式)先減少再取消對賽門鐵克、Thawte、GeoTrust與RapidSSL頒發的所有SSL/TLS憑證的信任。Google將這一時間表劃分為3個重要日期。2017年12月1日,2018年3月15日,以及2018年9月13日。第一個日期是2017年12月1日,不需要您採取任何行動。 然而,對於2018年的日期,您必須替換受影響的憑證以避免Google Chrome瀏覽器的安全警告。請閱讀這些日期與Chrome時間表的詳細資訊。

新的信任鏈

DigiCert已經接管了所有賽門鐵克網站安全SSL/TLS憑證的驗證和頒發。這包括賽門鐵克及其子CA的憑證:Thawte,GeoTrust和RapidSSL。 從今往後,所有新的網站安全憑證與重新頒發的網站安全憑證都由DigiCert(使用我們受信任的根憑證之一)頒發並受到Google Chrome的信任。

DigiCert創建的新憑證鏈不會干擾瀏覽器對您的現有憑證的信任。此憑證鏈為您的替換憑證建立Google Chrome(與其他瀏覽器)對憑證的信任。

步驟1:制定替換受影響憑證的計畫

為了避免Google Chrome瀏覽器顯示您的SSL/TLS憑證不受信任或不安全等安全警告,請在適當的日期之前替換受影響的網站安全SSL/TLS憑證:2018年3月15日或2018年9月13日,具體取決於您的憑證的頒發時間。請立即制定計劃並確保為憑證頒發與憑證安裝留出足夠的時間。

免費進行憑證替換

DigiCert將免費替換所有受影響的憑證。此外,您不需要切換到新的帳戶/平台。請繼續使用您現有的賽門鐵克帳戶來替換並訂購您的SSL/TLS憑證。

2018年3月15日

在2018年3月15日或2018年3月15日前後,Chrome beta版將不信任所有在2016年6月1日之前頒發的賽門鐵克SSL/TLS憑證。
Google計畫在2018年4月17日發布公開版本。

行動:如果您的SSL/TLS憑證在2016年6月1日之前頒發並將於2018年3月15日或2018年3月15日之後到期,那麼請在2018年3月15日之前替換憑證。

請不要等到2018年3月才替換受影響的憑證。我們在頒發憑證之前需要驗證網域名稱與組織。請不要忘記,您需要時間來安裝新的憑證,以使您的網站避免Google Chrome安全警告。

2018年9月13日

在2018年9月13日或2018年9月13日前後,Chrome beta版將不信任所有在2016年6月1日之後頒發的賽門鐵克SSL/TLS憑證。Google計畫在2018年10月中旬發布公開版本。

行動:如果您的SSL/TLS憑證在2016年6月1日之後(且在2017年12月1日之前)頒發並將於2018年9月13日或2018年9月13日之後到期,那麼請在2018年9月13日之前替換憑證。

請不要等到2018年9月才替換受影響的憑證。我們在頒發憑證之前需要驗證網域名稱與組織。請不要忘記,您需要時間來安裝新的憑證,以使您的網站避免Google Chrome安全警告。

步驟2:幫助確保網域名稱與組織準備就緒

為了滿足Google Chrome對SSL/TLS憑證替換的要求,DigiCert必須對DV、OV與EV憑證的所有網域名稱重新進行驗證/重新進行身分驗證。DigiCert還必須在OV與EV憑證所需的範圍內對組織重新進行驗證/重新進行身分驗證。

無論如何,我們將對您的網域名稱與組織進行驗證/身分驗證,以使我們能夠為您頒發替換憑證。然而,這些操作有助於縮短驗證您的網域名稱與組織的時間:

  • 證實您擁有網域名稱的控制權(所有憑證替換)

    在我們頒發憑證之前,您必須證明您擁有與憑證替換請求相關的網域名稱的控制權。這一過程被稱為網域名稱控制權驗證或DCV。預設的DCV方法是電郵驗證。

    電郵驗證流程的工作原理如下:DigiCert向公開列於WHOIS記錄上的註冊所有者發送授權電郵。我們還可以把授權電郵發送至此網域名稱的五個已創建的電郵地址:每個公共網域名稱的admin @,administrator@,webmaster@,hostmaster@和postmaster@帳戶。

    請注意:DigiCert不會把授權電郵發送給憑證申請者或帳戶管理員。

    此電郵包含完成您的網域名稱控制權驗證/身分驗證的指導說明。

  • 接聽驗證/身分驗證電話(OV與EV替換)

    確保有人知曉DigiCert將會給經過驗證的電話號碼致電以完成組織驗證/身分驗證。通常在提出替換憑證請求的24小時內致電。
  • 提供組織的法定註冊名稱(OV與EV替換)

    確保為您的OV或EV憑證提供組織的法定註冊名稱以進行驗證/身分驗證。如果所提供的組織名稱不正確,那麼DigiCert將需要在之後要求提供該名稱。例如,如果公司的法定註冊名稱是My Company,Inc.,那麼MYCO不正確。
  • 創建協力廠商線上存在狀態(OV與EV替換)

    在申請OV與EV憑證時,讓您的組織擁有線上存在狀態非常重要(法定名稱、位址與電話)。您可以透過將您的組織列入協力廠商企業目錄(例如Google My BusinessDun & Bradstreet來做到這一點。

步驟3:替換您的賽門鐵克(及子CA)SSL/TLS憑證

此指導說明概述了憑證替換的步驟。如需更多詳細資訊,請參閱文末所列的參考資料。

  1. 登錄您現有的賽門鐵克、Thawte,GeoTrust或RapidSSL帳戶。
  2. 找到您需要替換的憑證。
  3. 創建CSR(憑證簽章請求)。
  4. 選擇替換/重新頒發憑證選項。
  5. 提交您的替換/重新頒發請求
  6. 一旦DigiCert對您的網域名稱與組織重新進行了驗證/重新進行了身分驗證(根據憑證類型的要求),我們將重新頒發您的替代憑證。
  7. 安裝您的賽門鐵克SSL/TLS憑證

針對各個品牌的憑證替換指導說明

Symantec™ Complete Website Security
Symantec Managed PKI for SSL
Symantec Trust Center
Symantec Trust Center Enterprise
Thawte Certificate Center (TCC)
Thawte Certificate Center Enterprise (TCCE)
GeoTrust Security Center (GSC)
GeoTrust Enterprise Security Center (GESC)
RapidSSL Security Center

有關3年期憑證的建議

我們建議在2018年3月1日之前替換您的3年期憑證,以使您獲得完整的憑證有效期。自2018年3月1日起,憑證授權中心將不再頒發3年期的OV與DV憑證。 此外,無論憑證訂單上有多少剩餘時間, 2018年2月28日之後頒發的所有OV與DV替換憑證的最長有效期只有825天。請參閱公告:縮短OV與DV憑證的最長有效期。