关于iOS不信任Symantec证书的公告解读

发布时间:2018-09-20 11:05:14

1@1x.png

根据Apple公告1,目前采用两个时间节点来采取相应措施。其中:

第一个节点:201881日起:部分取消对Symantec CA 的信任

·  将会取消对2016 年6 月1 日之前或2017 年12 月1 日之后签发的TLS服务器证书的信任。

解读:Symantec和DigiCert在2017年12月开始进行了PKI切换,将Symantec升级到DigiCert的PKI可信平台上。所以,我司自2017年12月1日之后颁发的SSL证书都已完成升级,可放心使用

另外,对于2016年6月1日前颁发的SSL证书,由于其有效期最多为三年。所以,颁发时间为2015年8月1日至2016年6月1日的SSL证书需要进行更新


·  如果在2016 年6 月1 日至2017 年12 月1 日之间签发的TLS 服务器证书已发布至受信任的CT日志,则这些证书会受信任。

解读:Symantec早在2016年6月前,就已经为企业型(OV)和增强型(EV)SSL证书添加证书透明度(CT)。域名型(DV)SSL证书则可在这里查看是否有CT信息。即是说,颁发时间为2016年6月1日至2017年12月1日的SSL证书,若没有证书签署时间戳(SCT)记录(如下图所示),则表明需要升级SSL证书

111.png


第二个节点:再晚些时候:完全取消对Symantec CA的信任

·  将会完全取消对Symantec CA 签发的下列TLS 服务器证书的信任。

解读:这个“再晚些时候”,并没有一个明确的时间点,Apple还发布了一个相对的公告2,宣称最早把秋季定为节点二。

iOS12中引入的变化

·  Apple 产品最早会在2018 年秋季完全取消对Symantec CA 的信任macOS Mojave 中引入的变化。

·  Apple 产品最早会在2018 年秋季完全取消对Symantec CA 的信任。

但目前在9月18日(秋季)发布的iOS 12上测试,并没有完全取消对Symantec CA的信任。节点二“再晚些时候”推断会更晚一些,具体可以留意我们官方新闻


更多帮助

1.对于受影响的SSL证书,你可通过以下任一方式联系我们更新证书:

  在线客服、Support@trustasia.com、或021-58895880

2.对于不受此次Apple更新影响的网站运营者,为了更好地提供网络安全服务,我们建议你也可更新SSL证书。

3.你可以到myssl.com查询证书CT信息。

Bitmap@1x.png