Let’s Encrypt 计划终止 OCSP 服务
今天,Let’s Encrypt 宣布计划尽快终止对在线证书状态协议 (OCSP) 的支持,转而支持证书撤销列表 (CRL)。OCSP 和 CRLs 都是证书颁发机构 (CAs) 传达证书撤销信息的机制,但 CRLs 相比 OCSP 具有显著优势。此更改不会影响网站及其访问者,但某些非浏览器软件可能会受到影响。计划终止对 OCSP 的支持,主要是因为它对互联网隐私构成了相当大的风险。当有人使用浏览器或其他通过 OCSP 检查证书撤销的软件访问网站时,运营 OCSP 响应器的证书颁发机构 (CA) 会立即知道该访问者的特定 IP 地址正在访问哪个网站。Let’s Encrypt 建议现在依赖 OCSP 服务的任何人都尽快开始结束这种依赖。
—— Let’s Encrypt
Chrome 将证书颁发机构 Entrust 移出信任列表
谷歌通过博客公告,从 2024 年 11 月 1 日发布的 Chrome 127 版本开始,默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称,过去几年中,公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为,这些行为未能达到上述期望,并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前,Mozilla 在 5 月份发布了一份报告,其中汇总了今年 3 月至 5 月期间 Entrust 证书问题的详细清单。
以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效,2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效,并被浏览器默认阻止连接到对应的服务器。
—— 谷歌安全博客
网传 Cloudflare 颁发的免费证书中已包含 GTS 证书
目前的 Cloudflare HTTPS 证书来源:
– Cloudflare
– Let’s Encrypted
– Google
[认证慢讯]
全球第二大SSL证书厂商宣布停止向俄罗斯和白罗斯有关网站签发证书
该厂商称:
为了应对乌克兰不断变化的地缘政治局势,即日起,DigiCert、GeoTrust、Sectigo和PositiveSSL等CA将暂停发放和重新发放所有与俄罗斯和白俄罗斯有关的证书类型。这包括暂停向与俄罗斯和白俄罗斯有关的域名TLD(包括.ru、.su、.by、.рф等)以及地址在俄罗斯或白俄罗斯的组织发放和重新发放证书。
GeoCerts及其CA合作伙伴致力于遵守适用法律和行业标准。这一行动是在我们已经采取步骤遵守**制裁和出口管制之后采取的。我们正在密切关注这一情况,并将对发生的变化作出回应。
#失控的制裁
