Apple将于7月20日停止信任非CT登录的SSL / TLS证书

该公告是苹果公司赛门铁克CA不信任计划的补充

苹果公司已经明确了赛门铁克CA不信任计划，其中有即将到来的7月20日的最后期限。 2016年6月1日至2017年12月1日期间签发的任何Symantec CA SSL证书如果未发布到证书透明度日志，将不受信任。

这仅适用于Symantec CA证书，对于SSL / TLS生态系统的其余部分，Apple的CT截止日期仍为10月15日。除了浏览器中的Web内容之外，该要求不会影响SSL / TLS用例。 受影响的申请将包括：

• macOS High Sierra
• macOS应用程序
• iOS 11
• iOS应用
• Safari浏览器

这不太可能产生重大影响，因为不信任将主要影响已经被谷歌Chrome浏览器和Mozilla Firefox处罚的证书。 此外，赛门铁克此前与谷歌的混战之后，已经要求记录它发布的证书了。

尽管如此，网站所有者仍希望仔细检查他们的Symantec CA SSL证书，以免他们被四大网络浏览器之一取消信任。

如何判断我的SSL证书是否已经过CT记录？

证书透明度是一个行业的事情，最终用户无需做任何事情来记录自己的证书。 CA必须这样做。 但是，有两种方法可以检查并查看是否已记录您颁发的SSL证书。 第一种方法是检查浏览器中的证书详细信息。

1. 访问你的网站
2. 单击浏览器地址栏中的挂锁图标
3. 查找可以查看证书或证书详细信息的位置
4. 查找字符串：'1.3.6.1.4.1.11129.2.4.2'

如果找到它，则表示您的证书已被记录。 所有CT记录的证书的OID都相同。 现在，浏览器以不同的方式显示此信息。 例如，Safari将其显示为：

Firefox将其称为对象标识符。

Google会让您浏览其菜单，从“更多工具”部分选择开发人员工具，然后导航到安全性，您可以通过单击“主要来源”查看证书详细信息。

如果您正在使用Microsoft Edge，或者只是不想在浏览器中点击，还有另一种方法可以检查。 您还可以使用Symantec的CryptoReport：

转到Symantec CryptoReport。
输入您的网址。
检查：“Certificate Transparency: Embedded in certificate”（证书透明度：嵌入证书）
如果该行存在，则说明已录入CT！

如果不是，并且您使用的是2016年6月1日至2017年12月1日期间颁发的Symantec CA品牌SSL证书，则需要立即重新颁发或更换您的SSL证书。 您的替代品将来自DigiCert，后者现已收购赛门铁克CA，并在过去9个月中一直在努力更换数百万受影响的证书。