行业新闻与博客

我们知道是真的 10 件事中的之一是“最好把一件事做得非常非常好”。尽管多用途根 CA 在过去几十年中提供了解决订户用例的灵活性，但它们现在面临着满足多组日益严格的期望和要求的需求，这些期望和要求并不总是一致。我们相信专门建造的专用基础设施的价值以及随之而来的更多创新机会。我们还认为降低 Web PKI 的复杂性以提高生态系统的安全性和稳定性是有价值的。通过促进专用层次结构，我们可以更好地使 CA 必须遵守的相关政策和流程与订户、依赖方和根程序运营商的期望保持一致。

在我们政策的 1.1 版中，我们宣布 Chrome Root Store 将只接受属于专用于 TLS 服务器身份验证证书颁发的 PKI 层次结构的申请人根 CA 证书。

在未来的政策更新中，我们打算推出：

• Chrome 根存储中包含的现有多用途根 CA 证书的逐步淘汰计划。我们的计划将包括使用 CCADB 调查的 CA 所有者外展，因为我们将继续研究和考虑此拟议变更的相应生态系统影响。

在未来的政策更新或 CA/ 浏览器论坛投票提案中，我们可能会引入：

• 将新的从属 CA 和 TLS 服务器身份验证订户证书中的 extendedKeyUsage 值限制为仅“id-kp-serverAuth”的要求。修改专用 TLS PKI 层次结构的定义以禁止在能够颁发 TLS 服务器证书的新 CA 证书中使用其他扩展的 KeyUsage 值（即 id-kp-clientAuth），使 CA 实践与 Web 浏览器用例（即保护连接）更紧密地保持一致到网站）。此外，它消除了其他用例（例如物联网）对网站身份验证产生负面影响的风险和意外后果。