新闻详情

专家解读 | Google宣布停止信任 Entrust 数字证书，对于企业数字业务安全有何影响？

发表时间：2024-07-03 13:45

近日，一则来自Google Chrome团队的重要公告引起业界广泛关注。公告宣布，出于保障数字证书安全的考虑，Google将不再信任由知名证书颁发机构（CA）Entrust颁发的一切数字证书。

在全球市场Google Chrome是大多数台式电脑用户的首选浏览器，市场份额高达 65.23%，国内占比也超过三分之一，它的决定带有强烈的示范效应，将对全球企业的数字证书管理生态产生了深远影响。

Entrust合规与技术问题频发

Google不再信任其数字证书

Entrust作为业界资深的CA之一，近年来却频繁遭遇合规和技术问题。自2020年起，该公司多次发生技术失误，包括错误颁发证书而不及时停止此类行为，这些问题虽然单个看似轻微，但累积起来却严重损害了其作为公信力CA的形象。尽管Entrust试图回应这些问题，但社区的质疑并未平息，尤其对其在事件报告、责任认知和透明度等方面表达了不满和担忧。

鉴于此，Google Chrome团队在6月27日的安全博客中明确表示，由于Entrust的事件响应处理不当及其行为未能达到行业标准，Chrome浏览器将不再信任其颁发的证书。这一决定将于Chrome 127及以上版本中实施，具体而言，任何由Entrust根证书验证的数字证书，其最早签名证书时间戳（SCT）若晚于2024年10月31日，将不再被Chrome默认信任。

数字证书是什么？

它对数字业务安全有哪些影响？

数字证书是由电子商务认证中心（CA中心）所颁发的一种较为权威与公正的证书。通过数字证书，CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，广泛应用于可信网站服务、安全电子邮件、安全终端保护等领域，对于企业的数字业务的稳定运行至关重要。

据ZDNS专家解读，此次事件将对使用Entrust数字证书的企业造成如下影响：

1. 安全信誉受损：企业网站如果继续使用不受信任的Entrust证书，可能导致访问者遇到浏览器警告，从而影响用户对网站的信任度和企业的品牌形象。

2. 用户流失风险：搜索引擎将数字证书作为评估网站质量并判定搜索排名的一个重要因素，失去数字证书认证将增加用户流失率。

3. 业务中断风险：依赖在线交易或敏感数据交换的企业，如电子商务、金融服务等，证书不信任可能导致交易无法进行，造成业务中断和潜在经济损失。

4. 技术调整压力：企业需要紧急更换证书，进行技术调整，这可能涉及IT资源的重新分配，增加短期的人力和物力成本。

建立完善的数字证书管理策略

——ZDNS的专业建议

数字证书作为网络安全的重要基石，其安全性和可靠性对于企业的稳健运营至关重要。面对此类突发的安全事件，ZDNS建议：

1. 及时更换证书：企业应立即评估当前使用的证书是否受到影响，并计划在现有证书到期前，从Chrome根存储中其他受信任的CA之一获取并安装新的数字证书。优先选择具有良好行业声誉和合规记录的CA。对于内部员工和外部用户，企业应提前进行沟通，解释证书更换的原因和重要性，减少因证书更换带来的恐慌和误解。

2. 内部测试：利用Google Chrome提供的命令行标志功能，企业可以在Chrome 128及更高版本的Canary或Dev版本中模拟SCTNotAfter不信任约束，提前测试网站在新政策实施后的运行情况，确保平稳过渡。

3. 内部信任配置：对于在内部网络中使用Entrust证书的企业，可以通过将相应的根CA证书添加到操作系统（如Windows或macOS）的本地信任根证书存储中，绕过Chrome的限制。这需要按照平台提供商的指南进行，但需谨慎考虑这样做可能带来的安全风险。

4. 长期策略调整：长期来看，鉴于CA信任问题的严重性，企业应考虑建立更灵活的证书管理策略，包括