Chrome访问非登记SSL证书HTTPS网站 将全屏警告

[db:作者]

自5月2日开始，访问尚未在公共证书透明度（CT）日志中登记SSL证书的HTTPS网站，Chrome浏览器将会显示全屏警告。这样做使Chrome浏览器成为首个部署支持Certificate Transparency Log策略的浏览器，其他浏览器也承诺会在未来跟进支持这一机制，但是目前并未提供更多的细节。



CA 必须记录所有新发出的 SSL 证书
CT日志记录策略规定证书颁发机构（CA） – 颁发SSL证书以支持HTTPS连接的组织必须发布包含他们每天发布的所有SSL证书的日志。这些日志必须要是公开的。因此浏览器厂商、CA同行以及独立研究人员都能自由地随时调查是否存在错误签发的证书。
CA始终保存他们颁发的证书的日志，但这些都是私人的，只有在浏览器制造商调查证书泄漏的情况下才能使用。



大多数 CA 已经发布了 CT 日志
在市场份额超过60％的情况下，大多数 CA 从去年开始发布公共 CT 日志，当时很明显谷歌将在 Chrome 中实施这项新政策。Google 工程师还添加了一个 Chrome 策略标志，允许系统管理员在 Chrome 部署 在Intranet 中的情况下禁用 CT 日志检查行为。
新的 CT 政策不具追溯力。这意味着在今天之前发布的尚未记录在 CT 日志中的旧版证书将继续有效。但是如果 CA 从今天开始颁发了新的 SSL 证书并且没有将其记录在公共 CT 日志中，则 Chrome 将显示错误。