背景说明

Chrome根证书计划政策规定，纳入Chrome根证书存储的证书颁发机构（CA）证书必须为Chrome终端用户提供超越其持续存在风险的价值。当CA所有者披露和响应事件时，该政策描述了我们考虑的许多重要因素。当出现问题，我们期望CA所有者承诺进行有意义、可证明的变更，从而实现持续改进的证据。

信任变更原因

由于过去一年观察到的令人担忧的行为模式，Chrome对中华电信和Netlock作为Chrome根证书存储中CA所有者的可靠性信心已经减弱。这些模式代表了完整性的丧失，未达到预期，削弱了这些默认受Chrome信任的公共可信证书颁发机构的信任。为保护Chrome用户并维护Chrome根证书存储的完整性，我们正在采取以下行动。

Chrome 139及更高版本的变更

传输层安全（TLS）服务器身份验证证书，其最早签名证书时间戳（SCT）日期在2025年7月31日UTC 23:59:59之后，且验证至以下根CA证书的，将不再被默认信任：

• OU=ePKI Root Certification Authority,O=Chunghwa Telecom Co., Ltd.,C=TW
• CN=HiPKI Root CA - G1,O=Chunghwa Telecom Co., Ltd.,C=TW
• CN=NetLock Arany (Class Gold) Főtanúsítvány,OU=Tanúsítványkiadók (Certification Services),O=NetLock Kft.,L=Budapest,C=HU

最早SCT在2025年7月31日UTC 23:59:59或之前的TLS服务器身份验证证书不受此变更影响。

企业用户特别说明

如果Chrome用户或企业在依赖Chrome根证书存储的平台上明确信任上述任何证书（例如，通过Windows上的组策略对象传达明确信任），则上述基于SCT的限制将被覆盖，证书将按当前方式运行。

影响评估与应对措施

网站运营商可通过Chrome证书查看器检查是否受影响：导航到网站 → 点击"锁形"图标 → 点击"连接安全" → 点击"证书有效"。如果"颁发者"标题下的"组织（O）“字段包含"Chunghwa Telecom”、“行政院”、“NETLOCK Ltd.“或"NETLOCK Kft."，则需要采取行动。

建议受影响的网站运营商尽快转换到其他公共可信的CA所有者。企业用户可从Chrome 127开始，通过将相应根CA证书安装为本地可信根来覆盖Chrome根证书存储限制。

测试与验证

从Chrome 128开始，管理员和高级用户可使用命令行标志--test-crs-constraints模拟SCTNotAfter不信任约束的效果，具体使用方法详见原文技术说明。