Как выполнить переход с сертификатов Symantec

Информация в этой статье касается управляемых браузеров Chrome и устройств с ChromeOS.

В Chrome 66 и более поздних версий прекращается поддержка сертификатов Symantec, выпущенных до декабря 2017 года (это относится как к браузеру Chrome, так и к ChromeOS). Начиная с версии Chrome 70 мы откажемся от них полностью. Это изменение затронет все сертификаты, выпущенные под брендами Symantec, такими как GeoTrust, Equifax, Thawte, RapidSSL и VeriSign, а также сертификаты, выданные реселлерами Symantec.

Посетители сайтов, на которых установлены неподдерживаемые сертификаты Symantec, могут увидеть сообщение об ошибке. Кроме того, не исключается некорректная работа сайтов, ресурсы которых (например, JavaScript или CSS) размещены на хостах, использующих сертификаты Symantec.

Настройки блокировки зависят от версии Chrome и даты создания сертификата.

Версия Chrome Настройки блокировки по умолчанию
Chrome 66–69 Принимаются сертификаты, выданные с 1 июня 2016 года по 1 декабря 2017 года. Остальные сертификаты Symantec не считаются доверенными.
Chrome 70–73 Никакие сертификаты Symantec не принимаются.

Планирование перехода

Оптимальное решение по отказу от сертификатов Symantec зависит от того, как именно вы используете их в вашей организации. Ниже вы найдете сведения о вариантах перехода.

Сертификаты Symantec используются на вашем предприятии
Обратитесь к администратору сайта, чтобы определить, где в ваших доменах установлены сертификаты Symantec, и замените их как можно скорее. Вы можете использовать сертификаты, выпущенные любым центром сертификации (ЦС), который считается доверенным в Chrome. В их число входит организация DigiCert, купившая компанию Symantec.
Сертификаты Symantec необходимы для работы устаревшего оборудования

Для некоторых устаревших устройств, например кассовых терминалов, телефонных систем и других видов интегрированного аппаратного обеспечения, доверенными могут считаться только сертификаты Symantec. В этом случае свяжитесь с поставщиками оборудования и попросите их включить в число доверенных другие ЦС.

Если невозможно быстро обновить или заменить устройства, которые работают с теми же веб-серверами, что и пользователи Chrome на вашем предприятии, включите временную поддержку сертификатов Symantec. Свяжитесь с представителем DigiCert, который работает с вашим аккаунтом Symantec, и разработайте план по переходу на сертификаты другого ЦС.

Сертификаты Symantec используют ваши партнеры

Свяжитесь с администратором сайта партнера, чтобы узнать, когда будут заменены сертификаты. Чтобы обеспечить бесперебойную работу вашего предприятия, переход на другие сертификаты нужно выполнить как можно скорее.

Если партнеры не могут быстро обновить свой сайт, включите временную поддержку для сертификатов Symantec.

Как включить временную поддержку сертификатов Symantec

Вы можете создать новое правило, чтобы получить дополнительное время на отказ от устаревших сертификатов. Это позволит поддерживать их до выхода Chrome 73. Затем правило перестанет действовать, после чего в браузере Chrome и ChromeOS будут заблокированы все сертификаты Symantec.

Подготовка
  • В ChromeOS это правило будет действовать до выхода версии 73. Однако в других операционных системах (Windows, Linux или macOS) поддержка сертификатов Symantec может быть прекращена раньше. Тогда браузер Chrome, установленный в этих операционных системах, перестанет принимать сертификаты Symantec, даже если правило будет настроено и включено.
  • Это временное решение проблемы, которое позволит сохранить доступ пользователей к важным веб-страницам на время перехода.
  • Прежде чем применить это правило для всех пользователей своей организации, убедитесь, что при его включении нужные сайты останутся доступными.
  • Поскольку устаревшие сертификаты будут по-прежнему поддерживаться на сайтах, пользователи не увидят никаких предупреждений или сообщений об ошибках. Из-за этого вам будет сложнее определить, где остались сертификаты, требующие замены. Поэтому во время перехода регулярно проверяйте работу серверов и сайтов с отключенным правилом.
Консоль администратора

Инструкция предназначена для пользователей браузера Chrome на устройствах с ChromeOS.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  3. Чтобы применить настройки для определенной организации или группы:
    1. В левой части страницы выберите организационное подразделение или группу.
    2. Убедитесь, что в организации включено управление браузером Chrome.
      Настройки группы переопределяют значения для организационных подразделений. Подробнее…
  4. Перейдите в раздел Безопасность.
  5. Нажмите Сертификаты для локальных якорей доверия.
  6. В списке Устаревшая инфраструктура открытых ключей Symantec Corporation выберите один из следующих вариантов:
    1. Доверять – принимать устаревшие сертификаты, выданные Symantec.
    2. Блокировать – не принимать устаревшие сертификаты, выданные Symantec. Этот вариант позволяет принудительно применять на устройствах с ChromeOS настройки блокировки по умолчанию, которые зависят от версии ChromeOS и даты создания сертификата. Подробнее…
  7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).


    Обычно изменения вступают в силу в течение нескольких минут (иногда – в течение часа).
Windows

Эти инструкции предназначены для пользователей браузера Chrome на компьютерах с Windows.

С помощью групповой политики

Прежде чем приступать к настройке, узнайте, как настроить правила Chrome (Windows).

На компьютере Windows сделайте следующее:
  1. Откройте консоль управления групповыми политиками.
  2. Откройте раздел Конфигурация пользователя>Политики>Административные шаблоны>Google>Google Chrome.
  3. Нажмите Считать надежной устаревшую инфраструктуру открытых ключей Symantec Corporation.
  4. Выберите Включено.
  5. Нажмите ОК.
macOS

Эти инструкции предназначены для пользователей браузера Chrome на компьютерах с macOS.

Прежде чем приступать к настройке, узнайте, как настроить правила Chrome (macOS).

В профиле конфигурации Chrome добавьте или обновите указанный ниже ключ, а затем примените изменения к пользователям.

  • Укажите для ключа EnableSymantecLegacyInfrastructure значение true:
    <key>EnableSymantecLegacyInfrastructure</key>
    <true/>

Linux

Инструкция предназначена для пользователей браузера Chrome в Linux.

С помощью редактора JSON-файлов выполните следующие действия:

  1. Откройте папку /etc/opt/chrome/policies/managed.
  2. Создайте новый JSON-файл или откройте уже существующий.
  3. Вставьте код:
    {
    "EnableSymantecLegacyInfrastructure": "true"
    }
  4. Примените обновление ко всем пользователям.

Ссылки по теме

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
11169175810086259982
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false