去年Google宣佈自今年10月起Chrome將不再信任賽門鐵克(Symantec)的憑證,預定本周推出的Chrome 70釋出後,恐將有上千個知名網站無法為用戶存取。

2015年賽門鐵克旗下的Thawte憑證機構誤發Google憑證給第三方組織高達3萬個,引發Google祭出處份,宣佈自Chrome 66版不再信任由賽門鐵克在2016年6月以前所發行的憑證,並從今年10月的Chrome 70移除對所有賽門鐵克憑證的信任,包括Thawte、VeriSign、Equifax、GeoTrust和RapidSSL等,當時呼籲各家採用賽門鐵克憑證的網站應儘早更換。但是仍然相當多知名網站仍然使用舊的憑證。

安全研究人員Scott Helme利用網頁機器人爬了Alexa流量前100萬大網站,發現有高達1,139個網站可能因未更新憑證而無法存取。包括Capital One銀行、法拉利、賓州政府、司法研究資源網站SSRN、中國Oppo、GlobalFoundries,以及台灣城邦集團下的Popo.tw及起點中文網(qidian.com.tw)。他也將這個掃描結果釋出供各界參考。

網站採用HTTPS加密可確保使用者瀏覽器和網站之間的內容以加密傳輸以免被他人竊取,還可防止使用者連到釣魚網站。這也是為什麼Chrome、Firefox等瀏覽器極力要求網站採用HTTPS,而憑證正是用戶存取HTTPS網頁的關鍵。除了Chrome 70,Mozilla也宣佈從本月的Firefox 63 正式版起,也不再支援舊版賽門鐵克憑證。


熱門新聞

Advertisement