適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
自 Chrome 66 版 (適用於 Chrome 瀏覽器和 ChromeOS) 起,我們將逐步停止支援 2017 年 12 月前核發的 Symantec® 憑證。對於 Chrome 70 以上版本,Chrome 瀏覽器和 Chrome 作業系統將停止支援 Symantec 憑證。本次異動將影響所有由 Symantec 品牌 (如 GeoTrust®、Equifax®、Thawte®、RapidSSL® 和 VeriSign®) 核發的憑證,以及由 Symantec 經銷商核發的憑證。
如果訪客來到的網站使用不再受信任的 Symantec 憑證,可能會看到錯誤訊息。此外,如果網站所用的資源 (如 JavaScript 或 CSS 樣式表) 由使用 Symantec 憑證的主機提供,那麼網站可能無法正常運作。
憑證被封鎖與否取決於 Chrome 版本以及憑證建立的日期。
| Chrome 版本 | 預設行為 (封鎖) |
|---|---|
| Chrome 66 到 Chrome 69 | 停止信任 Symantec 於 2017 年 12 月 1 日後和 2016 年 6 月 1 日前核發的憑證,但允許在上述日期之間核發的所有憑證。 |
| Chrome 70 到 Chrome 73 | 停止信任所有 Symantec 核發的憑證。 |
規劃替代方案
請評估您的部署作業,以決定適合貴企業採用的最佳解決方案。請根據您要使用憑證的方式和位置,點選下方標題查看操作步驟。
我的企業使用 Symantec 憑證有些舊款裝置 (如銷售點感應式刷卡機、電話系統或其他整合式硬體) 只信任 Symantec 憑證。在這種情況下,請與裝置供應商聯絡,請對方支援其他憑證授權單位。
如果您的裝置無法立即更新,且與您的 Chrome 使用者使用相同的網路伺服器,建議您暫時啟用 Symantec 憑證支援,直到您替換或升級裝置為止。在這種情況下,請與指派給您 Symantec 帳戶的 DigiCert 代表聯絡,擬定改用新憑證授權單位的方案。
如果貴企業仰賴的合作夥伴網站採用 Symantec 憑證,請與網站管理員聯絡,瞭解替換憑證的排程時間。這些網站應該立即更換憑證,以免導致貴機構的業務中斷。
如果您的合作夥伴無法立即更新網站,請考慮暫時啟用 Symantec 憑證支援,直到網站更新為止。
暫時啟用 Symantec 憑證支援
如需更多時間替換 Symantec 憑證,您可以設定使用者政策,暫時支援舊版的 Symantec 憑證。這項政策在 Chrome 73 版本之前有效。73 版本後,這項政策就會停止運作,Chrome 瀏覽器和 Chrome 作業系統上的所有 Symantec 憑證一律會被封鎖。
事前準備- Chrome 作業系統將在 73 版本前支援這項政策。不過,Windows、Linux 或 macOS 等其他作業系統可能會在 73 版本推出前停止支援 Symantec 憑證。如果您的使用者執行 Chrome 瀏覽器的作業系統不再支援 Symantec 憑證,則啟用這項政策將不會有任何效果,您的憑證也無法獲得系統信任。
- 啟用這項政策只是臨時替代方案,讓您有更多時間轉換到永久性解決方案。請妥善規劃您的替代方案,讓您的使用者在轉換期間也能存取重要網頁。
- 在貴機構推出這項政策前,請先進行測試,確認在政策啟用後,使用者仍可存取網站。
- 這項政策可讓網站繼續使用舊版憑證,且不會對造訪這些網站的使用者顯示任何警示或訊息。啟用這項政策會導致您難以辨別使用舊版憑證的伺服器和網站。建議您在轉換期間定期停用這項政策來測試網站,以判斷哪些網站或伺服器需要更新。
適用於 Chrome 作業系統裝置的 Chrome 瀏覽器使用者。
-
-
在管理控制台中,依序點選「選單」圖示
「裝置」
「Chrome」
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示
「Chrome 瀏覽器」
- (選用) 如要為機構套用設定,請按下列步驟操作:
- 在左側選取機構。
- 確認您已為這個機構啟用受管理的 Chrome 瀏覽器。
進一步瞭解機構架構。
- 前往「安全性」。
- 按一下「本機信任錨點憑證」。
- 在 Symantec 公司的舊版 PKI 基礎架構中,選取下列其中一個選項:
- 允許 - 允許信任 Symantec 核發的舊版憑證。
- 封鎖 - 封鎖 Symantec 核發的舊版憑證。這項設定會施行 Chrome 作業系統的預設行為。封鎖的憑證取決於 Chrome 作業系統版本以及憑證建立的日期。詳情請參閱這份表格。
- 按一下「儲存」。
設定通常會在幾分鐘內生效,但也可能需要一個小時的時間,才會套用至所有使用者的裝置。
適用於 Windows 版 Chrome 瀏覽器使用者。
使用群組政策
在 Windows 電腦上- 開啟群組原則管理主控台。
- 依序前往 [使用者設定]
[政策]
- 按一下 [啟用信任 Symantec 公司的舊版 PKI 基礎架構]。
- 選取 [已啟用]。
- 按一下 [確定]。
[政策] 適用於 macOS 版 Chrome 瀏覽器使用者。
事前準備:設定 Chrome 政策 (macOS)
在您的 Chrome 組態設定檔中新增或更新下列金鑰,然後為使用者部署變更。
-
將 EnableSymantecLegacyInfrastructure 金鑰設為 true:
<key>EnableSymantecLegacyInfrastructure</key>
<true/>
適用於 Linux 版 Chrome 瀏覽器使用者。
使用您偏好的 JSON 檔案編輯器:
- 前往您的 /etc/opt/chrome/policies/managed 資料夾。
- 建立新 JSON 檔案,或開啟現有的 JSON 檔案。
- 使用下列程式碼更新檔案:
{
"EnableSymantecLegacyInfrastructure": "true"
} - 為使用者部署變更。
相關連結
- 如要進一步瞭解 Google 停止支援特定 Symantec 憑證的原因,請參閱 Chrome 停止信任 Symantec 憑證的計劃一文。
- 如需政策的詳盡說明,請參閱 EnableSymantecLegacyInfrastructure。
- 如要進一步瞭解 Chrome 政策範本,請參閱為裝置設定 Chrome 政策一文。