随着互联网安全的重要性日益提升,数字证书作为保障网络通信安全的核心工具,其发行机构的可信度至关重要。近期,谷歌Chrome浏览器宣布将从2025年8月的新版本139开始,不再信任由中华电信和Netlock这两大证书颁发机构(CA)签发的所有符合特定时间段的新TLS服务器身份验证证书。这一决定震动了业界,也引发了广泛关注。谷歌此举原因主要源于对上述两家CA在过去一年中表现出的合规问题及不当行为的严重担忧。作为全球最为流行的网络浏览器之一,Chrome每一次对根证书信任策略的调整,无疑都会影响数以亿计的用户体验及网络安全格局。中华电信作为台湾规模最大的综合电信服务提供商,其数字证书的广泛使用关系到众多企业和个人网站的安全。
Netlock则是匈牙利领先的电子身份认证和时间戳服务供应商,业务涉及电子签名及多个安全领域。谷歌方面指出,这两家机构在过去数月甚至数年里,多次出现合规失败和未能兑现公开改进承诺的情况,且未能在公众披露的安全事件后展现出实质性且可衡量的改进。考虑到被信任的根CA对整个互联网安全架构的潜在风险,谷歌认为继续信任这两者不再合理。此次变更具体影响的是2025年7月31日23时59分59秒(UTC)之后所签发的数字证书,已在此前签发的证书不受影响。然而,对于网站运营者来说,仍需尽快排查并转换证书颁发机构,以避免用户浏览时遭遇全屏安全警告。此警告会覆盖使用Windows、macOS、ChromeOS、Android及Linux等多平台的Chrome用户,极大影响用户访问体验和网站信任度。
为了帮助受影响的各方更好地管理过渡,谷歌建议网站运营人员利用Chrome证书查看器对现有证书进行有效审核,尽早迁移到受信任的证书颁发机构。尽管企业用户可以通过安装本地受信任的根CA证书来绕过Chrome的此类限制,但这对普通用户和大多数中小网站仍存在较高门槛。此外,值得注意的是苹果公司也已于2024年11月15日起不再信任Netlock发布的某些根证书,显示出多家科技巨头对这家证书颁发机构的一致不信任态度。实际上,谷歌此次宣布的不信任行动并非孤立事件。早在同年11月,谷歌、苹果和Mozilla已宣布停止信任由Entrust签发的根CA证书。Entrust随后将其证书业务出售给了Sectigo,显示整个数字安全领域正在经历一轮严厉的合规审查和市场重组。
在行业监管层面,CA/浏览器论坛在2025年3月通过了一系列新的安全要求,包括多视角发行验证(MPIC)和代码风格检测(Linting),这些措施旨在加强域名控制验证(DCV)和提升X.509证书的安全实践,防止域名劫持及伪造证书。谷歌此次对中华电信和Netlock的动作既是对当前安全环境的积极响应,也反映了互联网基础安全生态系统不断收紧的趋势。数字证书作为网络身份和通信加密的基础,其安全漏洞或管理不善会对广大网民隐私安全和整体网络信任造成巨大威胁。面对上述突发变化,网站管理员应尽快确认自家站点所使用的证书颁发机构,及时更新升级以保障访问安全。同时,网络用户需保持警惕,当浏览器出现全屏安全警告时,避免盲目访问相关网站,防止个人数据泄露。随着数字化转型的深入,更多企业将依赖云服务、电子签名及数字身份认证,加速推进网站及应用安全升级已成为必然。
全面合规且透明的CA管理机制,也希望成为未来行业标准之一。谷歌等互联网巨头对证书的不信任决定,虽短期内可能带来一定技术迁移压力,但长远来看,将有助于构建更加安全、健康的网络环境。中国互联网企业和用户亦应密切关注全球数字证书领域的监管与技术动态,提升自身安全防护意识和能力,保障数据安全和业务连续性。综上所述,谷歌Chrome浏览器针对中华电信和Netlock两大证书颁发机构的信任调整,是全球数字证书生态系统深化改革的重要信号。推动CA合规性与安全性的提升,是互联网产业健康发展的关键保障。业界与用户皆应积极响应,迎接更安全的数字未来。
。
