6月27日，Google的安全团队宣布将在Chrome127及更高的版本中，不再信任自2024年11月1日以后签发的Entrust SSL证书。但在2024年10月31日以前签发的证书依然会被信任，能够继续正常工作。据悉，这一决定和Mozilla在今年3月到5月间发现Entrust存在的一系列安全错误有关，Entrust在这一系列错误中未能及时提出更正意见或解决问题，导致了Google的这项决定：
EV TLS Certificate cPSuri missing
Failed to provide a preliminary incident report according to TLS BR 4.9.5

CPR was not responded to in 24 hours

Delayed revocation of EV TLS certificates with missing cPSuri

EV Certificate missing Issuer’s EV Policy OID

Delay in Updating CPS

Failure to revoke EV TLS certificates issued before CPS update

clientAuth TLS Certificates without serverAuth EKU

Delayed revocation of clientAuth TLS Certificates without serverAuth EKU

CPS typographical (text placement) error

Delayed incident report - CPS typographical (text placement) error

Not updating Problem Reporting Mechanism fields in CCADB

OCSP response signed with SHA-1

CRL non-conformance with the TLS BRs

默认情况下，Chrome127及以后的版本，在验证到以下 Entrust 根的 TLS 服务器身份验证证书（其最早签名证书时间戳 （SCT） 的日期在 2024 年 10 月 31 日之后）将不再受信任。

CN = Entrust Root Certification Authority - EC1

CN = Entrust Root Certification Authority - G2

CN = Entrust.net Certification Authority (2048)

CN = Entrust Root Certification Authority

CN = Entrust Root Certification Authority - G4

CN = AffirmTrust Commercial

CN = AffirmTrust Networking

CN = AffirmTrust Premium

CN = AffirmTrust Premium ECC

1. 赔付保障的存在与否：

   • 免费SSL证书通常不提供保险金赔付。例如，Let's Encrypt作为一家非营利性组织，提供的免费SSL证书不包括保险金赔付。
   • 付费SSL证书，尤其是高端的EV证书，通常会附带一定的财务保险（如网络安全保险），在发生因证书安全漏洞导致的数据泄露或经济损失时，为持证网站提供一定的赔偿保障。

2. 赔付金额和标准：

   • 免费SSL证书由于不提供赔付保障，因此没有具体的赔付金额和标准。
   • 付费SSL证书根据不同的品牌和证书类型，会有不同赔付标准和金额。例如，Symantec提供最高100万美元的赔付，Comodo提供最高250万美元的赔付（需购买EV证书），GlobalSign提供最高150万美元的赔付，DigiCert提供最高175万美元的赔付。

3. 赔付条件和流程：

   • 免费SSL证书由于没有赔付保障，因此没有明确的赔付条件和流程。
   • 付费SSL证书的赔付条件通常涵盖证书错误颁发、证书私钥泄露、CA机构的操作失误等情况。用户需按照CA机构的规定流程提交赔付申请。

免费SSL证书和付费SSL证书的差异:

1. 验证类型：

   • 免费SSL证书通常只有域名验证型（DV SSL证书），只验证域名所有权，不验证申请者的身份。
   • 付费SSL证书除了域名验证型（DV SSL证书）外，还包括企业验证型（OV SSL证书）和组织验证型（EV SSL证书），后者需要对企业和组织进行验证，提供更高级别的信任。

2. 使用限制：

   • 免费SSL证书在使用时有诸多限制，例如只能绑定单个域名，不支持通配符域名和多域名。
   • 付费SSL证书则没有这些限制，可以支持多个域名和子域名的保护。

3. 安全性和信任度：

   • 免费SSL证书由于只进行域名验证，安全性相对较低，浏览器可能会对安装了免费SSL证书的网站发出“不安全”的警告，影响用户体验。
   • 付费SSL证书由权威的证书颁发机构（CA）提供，经过严格的安全审核和认证，提供更高级别的安全保障，浏览器通常会给予更高的信任度。

4. 服务支持：

   • 免费SSL证书可能没有专业的技术支持和服务团队，用户遇到问题时可能需要自行解决。
   • 付费SSL证书通常会提供专业的技术支持和服务，用户可以随时获得帮助。

5. 有效期：

   • 免费SSL证书的有效期通常较短，如90天或1年，需要频繁更新，增加了维护成本。
   • 付费SSL证书的有效期较长，如2年或更长时间，减少了更新的频率和维护成本。

6. 赔付保障：

   • 免费SSL证书通常没有赔付保障。
   • 付费SSL证书提供赔付保障，如果因为证书问题导致损失，可以获得赔偿。

7. 适用场景：

   • 免费SSL证书适用于小型网站、学习或测试环境等非生产环境。
   • 付费SSL证书适用于生产环境、商业网站或对数据安全要求较高的场景。

要在腾讯云安装SSL证书，您可以按照以下步骤操作：

1. 申请SSL证书

首先，在腾讯云控制台申请SSL证书。您可以选择免费证书或付费证书。免费证书审批速度很快，基本几分钟就可以完成。

2. 证书下载

证书审核通过后，在SSL证书控制台下载证书。在下载时选择您的服务器类型（如Nginx），并解压缩证书文件包到本地目录。

3. 证书文件准备

解压缩后，您将获得以下文件：

• cloud.tencent.com_bundle.crt：证书文件
• cloud.tencent.com.key：私钥文件
• cloud.tencent.com.csr：CSR文件（申请证书时生成，安装时可以忽略）

4. 上传证书文件

使用文件传输工具（如WinSCP）将cloud.tencent.com_bundle.crt和cloud.tencent.com.key文件上传到您的Nginx服务器的/etc/nginx目录下。

5. 配置Nginx服务器

编辑Nginx的配置文件nginx.conf，添加或修改以下内容：

server {
    listen 443 ssl;
    server_name cloud.tencent.com;
    ssl_certificate cloud.tencent.com_bundle.crt;
    ssl_certificate_key cloud.tencent.com.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

确保修改server_name、ssl_certificate和ssl_certificate_key为您的实际域名和证书文件路径。

6. 验证配置文件

执行nginx -t命令验证配置文件是否有错误。

7. 重载Nginx配置

如果配置无误，执行nginx -s reload命令重载Nginx配置，使更改生效。

8. 测试HTTPS访问

在浏览器中输入https://cloud.tencent.com测试是否能够成功访问您的网站。

阿里云SSL证书的配置流程主要包括以下几个步骤：

1. 申请SSL证书：

   • 登录到阿里云数字证书管理服务控制台。
   • 点击左侧栏的“SSL证书管理”--“个人测试证书（原免费证书）”--“立即购买”。
   • 勾选“我已阅读并同意证书服务服务协议、证书技术支持服务须知”，点击“立即购买”，支付0元即可。

2. 创建证书：

   • 在控制台点击“创建证书”。
   • 输入“域名名称”，选择证书类型为“个人测试证书（免费版）”。
   • 选择“域名验证方式”，可以是手动DNS验证、域名授权自动化和文件验证。
   • 输入联系人信息、选择密钥算法、CSR生成方式后，提交审核。

3. 域名验证：

   • 根据选择的验证方式，进行域名验证。如果选择手动DNS验证，需要登录到域名DNS管理控制台，添加相应的TXT记录。
   • 完成域名验证后，等待CA公司审核通过。

4. 下载证书：

   • 审核通过后，可以下载适用于不同服务器类型的SSL证书。

5. 安装证书：

   • 将下载的SSL证书安装到你的Web服务器上（如Tomcat、Nginx、Apache、IIS等）。
   • 对于阿里云的产品，如云服务器ECS，可以通过创建部署任务，将证书上传至云服务器的指定路径，或替换指定路径中的证书文件。

6. 配置Web服务器：

   • 根据你的服务器类型，编辑服务器配置文件，指定证书文件的位置，并启用HTTPS监听。

7. 重启服务器：

   • 保存配置更改后，重启Web服务器以使更改生效。

8. 测试SSL配置：

   • 使用浏览器访问你的网站，检查地址栏中的锁形图标，确保HTTPS连接正常工作。
   • 使用在线SSL检查工具（如SSL Labs的SSL Server Test）来验证配置。