谷歌Chrome工程師 Ryan Sleevi昨日宣布，伴隨著賽門鐵克最近及以前發布的一系列錯誤證書，谷歌不再信任賽門鐵克過去幾年的證書頒發政策，計劃逐步降低對其證書的信任，對其新頒發證書的可接受有效期限制在9個月以內，并停止展示其EV SSL證書綠色地址欄等驗證狀態。

背景

自1月19日開始，Google Chrome團隊介入調查賽門鐵克公司的一系列證書問題。隨著調查的深入，根據賽門鐵克公司所提供的解釋已經表明每個問題的嚴重性不斷增加，已經從最初報告的127個問題證書擴展到至少30000個，而且這些證書都是在最近幾年發布的。此外賽門鐵克公司此前發布的證書也存在很多錯誤，這導致谷歌對賽門鐵克的證書頒發策略和機制產生強烈的質疑和不信任。

谷歌指出，賽門鐵克未能確保正確的域名驗證，對于申請特殊域名SSL證書的申請者身份審核草草了事。此外，賽門鐵克公司的員工既沒有對未經授權發行的證書進行日志審核，也沒有對這一缺陷進行改進。因此，谷歌認為賽門鐵克沒有足夠的監督能力。

這已經不是谷歌第一次警告賽門鐵克錯誤簽發證書的問題：

2015年9月和10月，Google發現賽門鐵克旗下的RootCA未經同意簽發了眾多域名的數千個證書，其中包括Google旗下的域名和不存在的域名。Google稱其不能確定賽門鐵克的該Root CA簽發的證書將不會被用于攔截、破壞或冒充Google產品或用戶的安全通信。且賽門鐵克在知道以上威脅的情況下也不愿因詳細說明簽發這些證書的用途。

2015年12月，Google發布公告稱Chrome、Android及其他Google產品將不再信任賽門鐵克(Symantec)旗下的"Class3 Public Primary CA"根證書。

采取的措施

谷歌將采取措施，逐步降低對賽門鐵克SSL證書的信任：

1、賽門鐵克新頒發的SSL證書可接受的最大有效期縮短至9個月，在Chrome 61版本生效（預計9月12日發布）。

2、Chrome后續一系列版本，將對目前所有賽門鐵克已頒發的SSL證書越來越不信任，并要求這些證書重新驗證和替換。

Chrome 59（Dev，Beta，穩定）：33個月有效期（1023天）

Chrome 60（Dev，Beta，穩定）：27個月有效期（837天）

Chrome 61（Dev，Beta，穩定）：21個月有效期（651天）

Chrome 62（Dev，Beta，穩定）：15個月有效期（465天）

Chrome 63（Dev，Beta）：9個月有效期（279天）

Chrome 63（穩定）：15個月有效期（465天）

Chrome 64（Dev，Beta，穩定）：9個月有效期（279天）

3、 立即刪除賽門鐵克EVSSL證書的擴展驗證標識（如綠色地址欄、狀態欄顯示組織名稱等），不少于1年，直至確信賽門鐵克的頒發政策和做法值得放心。

目前其他瀏覽器暫時沒有做出回應。