谷歌宣布计划为 Chrome 运行自己的证书根程序/存储,此举是该公司网络浏览器程序架构的一个重大转变。
“根程序”或“根存储”是操作系统和应用程序用来在软件例程安装过程中验证其身份的根证书列表。诸如 Chrome 之类的浏览器使用根存储来检查 HTTPS 连接的有效性。他们通过查看网站的 TLS 证书并检查用于生成 TLS 证书的根证书是否包含在本地根程序/存储中来进行此操作。
谷歌计划创建自己的根目录存储,名为 Chrome Root Program,该根存储将在除 iOS 之外的所有平台上与所有版本的 Chrome 一起提供。目前该项目还处于初始阶段,还没有时间表说明 Chrome 将何时从使用操作系统根存储过渡到其内部列表。
谷歌制造商已经发布了针对证书颁发机构(CAs)的规则。浏览器制造商正在敦促 CAs 阅读这些规则,并申请加入到新的 Chrome 根程序白名单中,以确保届时 Chrome 用户可以无缝过渡。
正如 ZDNet 所说,这种将根存储打包在浏览器中而不使用底层操作系统提供的方法并不是什么新鲜事,Mozilla 的 Firefox 就一直在这样做。谷歌这样做的原因有很多,首先是 Chrome 的安全团队能够更快地干预和禁止行为不端的 CAs,其次是谷歌希望在所有平台上提供一致的体验和共同的实现。
不过,谷歌的这一举措貌似并不怎么受到欢迎。罗马尼亚雅西一家大型软件公司的 IT 管理员指责称,这将给系统管理员带来更多的工作。"我们现在有另一个根存储列表要管理、新的组策略要设置、还有新的变更日志要跟进。我们已经忙得不可开交了。"
一名 Reddit 用户也表示,这并不是一个改进,这只是让那些拥有自己 CA 的公司更难保持一切同步。
本文转自OSCHINA。
本文标题:增加工作量?Chrome 将拥有自己的专用证书根存储
本文地址:https://www.oschina.net/news/119656/chrome-dedicated-certificate-root-store