与所有的大型证书授权提供商一样,在赛门铁克公司,我们会针对某些公共根证书进行常规评估,以确定其是否应被继续投入使用或重新定义为面向非浏览器的应用。如果评估结果显示该证书已无法继续投入使用,为保障网站安全,我们会正式向主流浏览器及 OS 信任储存程序发出删除或“不信任”该根证书的要求。
过去的几年我们已经与客户携手为 PCA3-G1 根证书即将寿终正寝做好了应对准备。11 月,我们继续跟进了数个仍在使用 PCA3-G1 根证书的浏览器,并告知现在是删除或“不信任”该根证书的时候了。我们竭力确保任何根证书的删除或“不信任”措施都不会对网络生态系统和浏览器用户造成损害或不必要的风险。
该根证书在主流浏览器上已经失效,但仍有大量企业客户对其具有依赖性。为满足此类客户的需求,针对企业客户为公司网络遗留软件、遗留设备请求证书的情况,我们会在私人传输层安全(TLS)供应服务中重新使用 PCA3-G1 根证书。我们的记录和公开调查表明,所有的客户都已不再将该根证书用于任何公共使用用途,测试结果也让我们确信该根证书的删除不会给浏览器用户带来任何风险。
近日,证书授权提供商(CA)就非信任根证书展开的讨论让我们认识到,需要更多的对话才能够让问题得到妥善处理。未来您将看到我们定期发布的博文。希望我们这一举措能够引起开放的行业讨论,只有这样我们才能共享不同的理念,所有网络安全利益相关者都可从中获益。