谷歌计划步Mozilla的后尘,这家搜索巨头宣布计划为其Chrome浏览器运行自己的证书根程序/商店。虽然操作系统和应用程序在安装过程中使用“根程序”或“根存储”来验证软件的身份,但Chrome和其他网络浏览器使用根存储来确保HTTPS连接有效。他们通过检查网站的TLS证书来确定这一点,以确定用于生成证书的根证书是否包含在本地根程序/存储中。
与包含自己根存储的Mozilla Firefox不同,Chrome自2009年推出以来一直被配置为使用当前运行的操作系统的根存储。因此,在Windows电脑上,Chrome浏览器会根据微软可信根程序检查站点的TLS证书,而在macOS设备上,浏览器会使用苹果根证书程序进行检查。
然而,在未来,谷歌的网络浏览器将使用自己的根存储来确定HTTPS连接是否有效。
在Chrome项目网页上的一篇新帖子中,谷歌透露了其创建自己的根存储(称为Chrome根程序)的计划。新的根存储最终将提供所有版本的Chrome,尽管它不会与iOS版本的Chrome一起使用。
目前看来该程序还处于起步阶段,谷歌也没有提供Chrome Root程序上线的时间表。然而,该公司发布了一项证书颁发机构(CA)规则,该规则向网站颁发TLS证书,以便在需要时可以做好准备。谷歌在宣布Chrome Root计划的帖子中为CA提供了更多指导,并表示:
“随着这一转变的发生,CA应该继续与支持Chrome的操作系统的相关供应商合作,要求他们在适当的时候将其纳入其根证书计划。通过确保Chrome可以验证来自CA的证书,无论是使用Chrome Root Store还是现有平台集成,这都将有助于最大限度地减少对最终用户的干扰或不兼容性。”
通过引入自己的根存储,谷歌将能够在其浏览器支持的所有平台上提供更一致的体验和通用实现。Chrome的安全团队也将能够尽快介入并禁止不遵守规则的ca。