賽門鐵克 (Symantec) 與所有的大型憑證授權機構一樣,會進行例行的評估,判斷特定的公用根憑證是否應繼續使用,還是該改用在其他非顯示於瀏覽器的用途。進行這類工作時,我們會向主要瀏覽器和作業系統的信任憑證庫供應商提出正式申請,或至少會「不信任」根憑證,以保護網站安全。
近幾年來,我們已和客戶一同立下基礎,以面對根憑證 PCA3-G1 的使用壽命即將結束。11 月時,我們著手處理仍在使用該根憑證的數種瀏覽器,通知應移除或「不信任」PCA3-G1 根憑證。本公司作業仔細,以確保移除或「不信任」任何根憑證均不會對網際網路生態系統 (尤其瀏覽器使用者) 造成傷害或是帶來不當風險。
雖然對於主要瀏覽器而言此根憑證已無用處,但確實有一些公司企業仍仰賴它。為了滿足這類需求,該根憑證將會重新使用於本公司的專用 TLS 產品,提供給已提出憑證要求的企業客戶,用於支援企業網路的舊式軟體和舊式裝置。本公司的記錄和公開掃描顯示,所有客戶皆已不再將該根憑證用於公開用途,此外測試成果也說明,移除這個根憑證不會對瀏覽器使用者造成風險。
近來,憑證授權社群中對於解除根憑證信任出現了十分熱烈的討論,讓我們意識到有必要進行更多的溝通和宣傳。接下來,本公司會經常發表相關文章,希望藉此激起業界的開放式討論,共同分享想法,進而協助有意提高網站安全防護的人士。