行业新闻与博客

数以万计的 GoDaddy 证书将在 macOS 11.4 和 iOS 14.6 中崩溃

macOS 11.4 和 iOS 14.6 对 2021 年 4 月 21 日或之后颁发的受公众信任的 SSL 证书提出了一些新要求。一般而言，作为网站所有者，您无需担心此更改，因为您的证书颁发机构的工作是及时了解政策变化并为您提供符合 Web 浏览器政策的证书。

不幸的是，一些证书颁发机构，即 GoDaddy、GlobalSign、Certigna 和 WidePoint，在 4 月 21 日至 4 月 27 日期间搞砸并颁发了数以万计的不合规证书，这些证书在 macOS 11.4 和 iOS 14.6 中不起作用（Safari 会说“这连接不是私人的”）。如果您在此时间范围内从这些 CA 之一获得了证书，则可能需要更换您的证书。您可以使用我们的证书透明度策略分析器 来检查您的网站是否受到影响。

背景

Apple 和 Chrome 要求证书颁发机构在公共证书透明度 日志中发布有关其证书的信息，以便可以检测到证书颁发机构的不当行为。例如，Cert Spotter 会监控证书透明度日志，并在为您的网站颁发未经您授权的证书时向您发出警报。

在颁发证书之前，证书颁发机构通过在多个证书透明度日志中发布预证书来公开宣布其颁发证书的意图。预证书类似于证书，包含将包含在证书中的相同信息，例如证书对其有效的域名。

每个证书透明度日志都会返回一个收据，称为签名证书时间戳或 SCT，承诺发布预证书。证书颁发机构将 SCT 嵌入到证书中。当 Chrome 或 Safari 加载网站时，它们会检查 SCT，如果证书缺少足够数量的 SCT，它们会拒绝证书并拒绝加载网站。

所需 SCT 的数量取决于证书有效期。对于 2021 年 4 月 21 日之前颁发的证书，Chrome 和 Apple 均使用以下策略：

但是对于 4 月 21 日或之后颁发的证书，Apple 现在要求：

此更改提前传达给证书颁发机构，并且他们中的大多数人都收到了备忘录。不幸的是，证书颁发机构通常很难遵守规则。

估计不合规的数量

为了估计已颁发了多少不合规证书，crt.sh 的 Rob Stradling 搜索了在 4 月 21 日或之后颁发、有效期超过 180 天且记录到少于三个日志的预证书。这为不合规证书的数量提供了下限，因为如果预证书少于 3 个日志，则其对应的证书不可能有来自 3 个或更多日志的 SCT。但是，这只是一个下限：预证书可能位于 3 个或更多日志中，但相应的证书不一定嵌入所有日志中的 SCT。

以下是 Rob 收集的数据摘要：

为了获得替代下限，SSLMate 搜索了 4 月 21 日至 5 月 3 日之间颁发的证书（而非预证书），这些证书的有效期超过 180 天，嵌入了至少一个 SCT，并且不符合 Apple 的证书透明度政策。（我们跳过了包含零 SCT 的证书，因为这些证书可能是故意不记录的，只要您不需要您的证书在 Safari 或 Chrome 中工作，这是允许的。）评估证书，而不是预证书，明确地告诉我们证书是否合规。但是，大多数证书颁发机构只记录预证书，并且只有在第三方（例如 Googlebot）发现并提交它们时才会记录它们的证书。因此，评估证书不

以下是我们的结果，按发布日期细分，以便我们可以确定每个 CA 解决问题的时间：

我们的数据将 GlobalSign 的下限增加到 504 个不合规证书。

这怎么发生的？

查看不合规的证书，会出现一些有趣的模式。

GlobalSign 的每一份不合规证书的有效期为 182 天 14 小时 54 分 36 秒。这恰好比 4 月和 10 月之间六个月期间的天数少一些。GlobalSign 似乎认为 Apple 的新政策影响了有效期大于 6 个月而不是大于 180 天的证书。

对于 GoDaddy，不合规证书的有效期为 181 至 254 天。没有一个证书的有效期为一整年，这表明只有重新颁发的证书（与原始证书的有效期相同）受到影响。在决定重新颁发的证书需要有多少 SCT 时，GoDaddy 可能会参考原始证书的颁发日期，而不是重新颁发的证书。