谷歌將為Chrome創(chuàng)建證書根程序/存儲(chǔ)，被指責(zé)增加工作量

谷歌宣布計(jì)劃為 Chrome 運(yùn)行自己的證書根程序/存儲(chǔ)，此舉是該公司網(wǎng)絡(luò)瀏覽器程序架構(gòu)的一個(gè)重大轉(zhuǎn)變。

“根程序”或“根存儲(chǔ)”是操作系統(tǒng)和應(yīng)用程序用來在軟件例程安裝過程中驗(yàn)證其身份的根證書列表。諸如 Chrome 之類的瀏覽器使用根存儲(chǔ)來檢查 HTTPS 連接的有效性。他們通過查看網(wǎng)站的 TLS 證書并檢查用于生成 TLS 證書的根證書是否包含在本地根程序/存儲(chǔ)中來進(jìn)行此操作。

谷歌計(jì)劃創(chuàng)建自己的根目錄存儲(chǔ)，名為 Chrome Root Program，該根存儲(chǔ)將在除 iOS 之外的所有平臺(tái)上與所有版本的 Chrome 一起提供。目前該項(xiàng)目還處于初始階段，還沒有時(shí)間表說明 Chrome 將何時(shí)從使用操作系統(tǒng)根存儲(chǔ)過渡到其內(nèi)部列表。

谷歌制造商已經(jīng)發(fā)布了針對(duì)證書頒發(fā)機(jī)構(gòu)（CAs）的規(guī)則。瀏覽器制造商正在敦促 CAs 閱讀這些規(guī)則，并申請(qǐng)加入到新的 Chrome 根程序白名單中，以確保屆時(shí) Chrome 用戶可以無縫過渡。

正如 ZDNet 所說，這種將根存儲(chǔ)打包在瀏覽器中而不使用底層操作系統(tǒng)提供的方法并不是什么新鮮事，Mozilla 的 Firefox 就一直在這樣做。谷歌這樣做的原因有很多，首先是 Chrome 的安全團(tuán)隊(duì)能夠更快地干預(yù)和禁止行為不端的 CAs，其次是谷歌希望在所有平臺(tái)上提供一致的體驗(yàn)和共同的實(shí)現(xiàn)。

不過，谷歌的這一舉措貌似并不怎么受到歡迎。羅馬尼亞雅西一家大型軟件公司的 IT 管理員指責(zé)稱，這將給系統(tǒng)管理員帶來更多的工作?！拔覀儸F(xiàn)在有另一個(gè)根存儲(chǔ)列表要管理、新的組策略要設(shè)置、還有新的變更日志要跟進(jìn)。我們已經(jīng)忙得不可開交了?！?/p>

一名 Reddit 用戶也表示，這并不是一個(gè)改進(jìn)，這只是讓那些擁有自己 CA 的公司更難保持一切同步。
責(zé)編AJX