发布人：Chrome 安全团队 Devon O’Brien、Ryan Sleevi 和 Andrew Whalley

7 月底，Chrome 团队与 PKI 社区共同制定了一项计划，希望减少并最终移除对 Symantec 基础架构的信任，此举旨在确保用户浏览网络时的安全和隐私。最终确定之前，这项计划在 blink-dev 论坛上进行了激烈的讨论。它为大家留出了合理的时间来过渡到独立运营的新 Managed Partner Infrastructure，同时，Symantec 也将更新和重新设计其基础架构以符合业界标准。这篇博文重申了这项计划并包括一个时间表，提醒网站运营者何时需要获取新证书。

2017 年 1 月 19 日，mozilla.dev.security.policy 新闻组的一篇公开帖子将大家的目光吸引到 Symantec Corporation 旗下 PKI 发放的一系列有问题的网站身份验证证书上。Symantec 的 PKI 业务部门管理着不同品牌名称下的一系列证书授权机构，其中包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL。这个部门已经发放了大量不符合行业制定的 CA/浏览器论坛基本要求的证书。随后的调查发现，Symantec 在不进行适当或必要监督的情况下将证书发放工作委托给多个组织，并且意识到这些组织存在安全缺陷已有一段时间。

与 2015 年的上一起事故不同，这起事故与过去几年的一系列问题让 Chrome 团队对 Symantec 基础架构以及已经或将要从这个基础架构发放的证书的可信度失去信心。

在我们协商一致的提议公布后，Symantec 已宣布选择 DigiCert 来运行这个独立运营的 Managed Partner Infrastructure，也表露了将 PKI 业务出售给 DigiCert 的意向，希望构建一个全新的可信基础架构。这篇博文概括介绍了过渡时间表以及现有 Symantec 客户应采取的措施，从而最大程度减小对其用户的影响。

网站运营者需要了解的信息

从 Chrome 66 开始，Chrome 将移除对 Symantec 在 2016 年 6 月 1 日前所发放证书的信任。Chrome 66 目前计划于 2018 年 3 月 15 日向 Chrome Beta 用户发布，于 2018 年 4 月 17 日左右向 Chrome Stable 用户发布。

如果您是一名网站运营者并且具有某个 Symantec 证书授权机构在 2016 年 6 月 1 日前发放的证书，则在 Chrome 66 发布前，您需要使用 Chrome 信任的任何证书授权机构发放的新证书替换现有证书。

此外，在 2017 年 12 月 1 日之前，Symantec 会将公共可信证书的发放和管理工作过渡到 DigiCert 基础架构，在此之后从旧的 Symantec 基础架构发放的证书在 Chrome 中将不再受信任。

Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布，此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书，但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。

需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取，但是，需要在 Chrome 70 之前重新替换这些证书。此外，从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书，这些证书不受取消信任或有效期限的影响。

参考时间表

下面是此计划一些相关日期的时间表，其中列出了各项要求和里程碑，指导网站运营者采取行动。和往常一样，Chrome 发布日期可能前后相差几天，不过，大家可以在这里跟踪即将到来的发布日期。