Google 地圖平台根憑證授權單位遷移常見問題

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

本文件包含以下章節:

如要進一步瞭解進行中的 Google 根憑證授權單位遷移作業,請參閱「異動簡介」一節。

術語

我們收集您在本文件中需要熟悉的最重要術語,並整理成下方清單。如需更完整的相關術語總覽,請參閱「Google Trust Services 常見問題」一文。

安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證
憑證會將加密編譯金鑰繫結至身分。
安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證可用來驗證並建立與網站的安全連線。憑證是由稱之為「憑證授權單位」的實體核發並加密簽署。
瀏覽器需要使用信任的憑證授權單位所核發的憑證,才能瞭解傳輸的資訊已傳送至正確的伺服器,且在傳輸過程中經過加密。
安全資料傳輸層 (SSL)
安全資料傳輸層 (SSL) 是部署最為廣泛的通訊協定,用來加密網際網路通訊。一般認為安全資料傳輸層 (SSL) 通訊協定不再安全,因此不建議使用。
傳輸層安全標準 (TLS)
傳輸層安全標準 (TLS) 是安全資料傳輸層 (SSL) 的後續版本。
憑證授權單位 (CA)
憑證授權單位就像是裝置和使用者的數位護照局,可以核發經過加密技術保護的文件 (憑證) 來確認實體 (例如網站) 與其宣告的身分相符。
核發憑證前,憑證授權單位會負責確認憑證中的名稱,是否與提出要求的使用者或實體有關聯。
「憑證授權單位」一詞可指 Google Trust Services 等機構,也可以指核發憑證的系統。
根憑證存放區
根憑證存放區包含應用程式軟體供應商所信任的一組憑證授權單位。大部分網路瀏覽器和作業系統都有專屬的根憑證存放區。
如要入列根憑證存放區,憑證授權單位必須遵守應用程式軟體供應商所訂定的嚴格要求。
這些要求通常包含符合業界標準,例如憑證授權單位/瀏覽器論壇規定。
根憑證授權單位
根憑證授權單位 (更正確地說,是指其憑證) 為憑證鏈中的最頂層憑證。
根憑證授權單位憑證 通常是自行簽署的憑證。與這些憑證相關聯的私密金鑰會儲存在高度安全的設施中,且會維持在離線狀態,以防他人未經授權擅自存取。
中繼憑證授權單位
中繼憑證授權單位 (更正確地說,是指其憑證) 為可用於簽署憑證鏈中其他憑證的憑證。
中繼憑證授權單位主要用於核發線上憑證,同時讓根憑證授權單位憑證能保持離線狀態。
中繼憑證授權單位又稱從屬憑證授權單位。
核發憑證授權單位
核發憑證授權單位 (更正確地說,是指其憑證) 為可用於簽署憑證鏈中最底層憑證的憑證。
這個最底層憑證通常稱為訂閱者憑證、終端實體憑證或分葉憑證。在本文件中,我們也會使用「伺服器憑證」一詞。
憑證鏈
憑證會連結至核發者 (由其加密簽署)。憑證鏈是由分葉憑證、所有其核發者憑證和根憑證所組成。
交叉簽署
應用程式軟體供應商的用戶端必須更新其根憑證存放區,以納入新的憑證授權單位憑證,才能受到自家產品的信任。含有新憑證授權單位憑證的產品需要一些時間,才會廣泛獲得採用。
為了提高與舊版用戶端的相容性,憑證授權單位憑證可由其他先前既有的憑證授權單位「交叉簽署」。這樣就能有效地為同一個身分 (名稱和金鑰組) 建立第二個憑證授權單位憑證。
視根憑證存放區中包含的憑證授權單位而定,用戶端最多會在其信任的根層級建立不同的憑證鏈。

一般資訊

異動簡介

總覽

2017 年,Google 展開為期多年的專案,來核發及使用自家的「根憑證」,也就是加密簽名,這是 HTTPS 採用的傳輸層安全標準 (TLS) 網際網路安全性的基礎。

第一階段完成後,GS Root R2 就能確保 Google 地圖平台服務的傳輸層安全標準 (TLS) 安全性;GS Root R2 是一種知名度極高、廣受信任的根憑證授權單位。為了更輕鬆地移轉至 Google 自我核發的 Google Trust Services (GTS) 根憑證授權單位,Google 向 GMO GlobalSign 併購了 GS Root R2。

實際上,所有傳輸層安全標準 (TLS) 用戶端 (例如網路瀏覽器、智慧型手機及應用程式伺服器) 都信任這個根憑證,因此能夠在遷移的第一階段與 Google 地圖平台伺服器建立安全連線。

不過,憑證授權單位可能會「刻意」不核發自身憑證到期時間過後仍有效的憑證。GS Root R2 將於 2021 年 12 月 15 日到期,因此 Google 會使用自家根憑證授權單位「GTS Root R1」核發的憑證,將其服務遷移至新的憑證授權單位「GTS Root R1 Cross」

雖然大多數的新式作業系統和傳輸層安全標準 (TLS) 用戶端程式庫皆已信任 GTS 根憑證授權單位,但為了確保大多數舊版系統的轉換作業都能順利進行,Google 向採用「GlobalSign Root CA - R1」的 GMO GlobalSign 併購了交叉簽署功能。「GlobalSign Root CA - R1」是歷史最悠久、也最受信任的現有根憑證授權單位之一。

因此,大多數客戶的 Google 地圖平台用戶端已認可其中任一受信任的根憑證授權單位 (或兩者皆認可),而且在遷移的第二階段完全不會受到影響。

這也適用於在 2018 年遷移的第一階段採取行動的客戶,前提是他們當時有遵循我們的操作說明,安裝推薦 Google 根憑證授權單位組合中的所有憑證。

如有下列情況,建議您檢查系統:

  • 您的服務是在非標準或舊版平台上運作,且/或您自行維護根憑證存放區
  • 您並未在 2017 至 2018 年 Google 根憑證授權單位遷移的第一階段採取行動,或者您沒有安裝推薦 Google 根憑證授權單位組合所提供的整組憑證

如果上述情況適用,您可能必須使用建議的根憑證更新用戶端,才能在遷移的這個階段順利使用 Google 地圖平台。

請參閱下方的詳細技術說明。如需一般操作說明,請參閱「如何確認我的根憑證存放區是否需要更新」一節。

此外,我們也建議您繼續將根憑證存放區與上方收錄的根憑證授權單位組合保持同步,以便在日後根憑證授權單位有所變更時,確保服務不受影響。不過,如有任何這類變更,我們都會事先公告。請參閱「如何取得有關這個遷移階段的最新消息?」一節和「如何事先收到日後遷移作業的通知?」一節,進一步瞭解如何隨時掌握最新消息。

技術摘要

如 2021 年 3 月 15 日的 Google 安全性網誌所宣布,Google 地圖平台在 2018 年初以來一直使用的根憑證授權單位「GS Root R2」,將於 2021 年 12 月 15 日到期。因此,Google 會在今年遷移至新核發的憑證授權單位「GTS Root R1 Cross」。這表示我們的服務將逐漸改用這個新憑證授權單位所核發的傳輸層安全標準 (TLS) 分葉憑證。

大多數的新式傳輸層安全標準 (TLS) 用戶端和系統都已預先設定為使用「GTS Root R1」憑證,或是應透過一般軟體更新收到這個憑證,而「GlobalSign Root CA - R1」甚至應能在舊版系統中使用。

不過,如果您同時符合下列兩項條件,則至少應檢查系統:

  • 您的服務是在非標準或舊版平台上運作,且/或您自行維護根憑證存放區
  • 您並未在 2017 至 2018 年 Google 根憑證授權單位遷移的第一階段採取行動,或者您沒有安裝推薦 Google 根憑證授權單位組合所提供的整組憑證

如何確認我的根憑證存放區是否需要更新」一節提供了一般指引,協助您測試系統是否會受到影響。

詳情請參閱「為何應將我的根憑證存放區與推薦 Google 根憑證授權單位組合保持同步?」這個問題下的說明。

如何取得有關這個遷移階段的最新消息?

在公開問題 186840968 加上星號,即可取得相關最新消息。我們在遷移程序期間,如遇到任何大家可能會有興趣的主題,也會更新這份常見問題清單。

如何事先收到日後遷移作業的通知?

建議您追蹤 Google 安全性網誌。我們也會在網誌發布公告之後,盡快更新產品相關說明文件。

此外,也請您訂閱 Google 地圖平台通知,因為我們會定期在論壇上發布最新消息,協助您掌握可能會影響大量客戶的異動。

我們使用多項 Google 服務,這些服務會受到根憑證授權單位遷移的影響嗎?

會,所有 Google 服務和 API 都將進行根憑證授權單位遷移,但時程可能因服務而異。不過,在確認 Google 地圖平台用戶端應用程式所使用的根憑證存放區,含有推薦 Google 根憑證授權單位組合中列出的所有憑證授權單位後,您的服務應該就不會受到進行中的遷移作業影響;而將這些項目保持同步,可讓您在根憑證授權單位日後有異動時也不會受到影響。

如需進一步的深入分析,請參閱「為何應將我的根憑證存放區與推薦 Google 根憑證授權單位組合保持同步?」和「哪些類型的應用程式會有中斷的風險?」這兩個問題下的說明。

下方「如何確認我的根憑證存放區是否需要更新」一節也提供有關測試系統的一般操作說明。

如何確認我的根憑證存放區是否需要更新

請透過下列測試端點測試您的應用程式環境:

  • 如果您可以建立與 GTS Root R1 Cross 測試端點的傳輸層安全標準 (TLS) 連線,應該就不會受到 GS Root R2 到期問題的影響。
  • 如果您可以建立與 GTS Root R1 測試端點的傳輸層安全標準 (TLS) 連線,您的應用程式可能甚至會在 2028 年「GTS Root R1 Cross」和「GlobalSign Root CA - R1」到期後仍受到保護。

只要符合以下條件,您的系統通常就能與這項根憑證授權單位異動相容:

  • 您的服務是在有人維護的主流作業系統上運作,且您持續修補您服務使用的作業系統和程式庫,也沒有自行維護根憑證存放區;或是
  • 您遵循我們先前的建議,且安裝推薦 Google 根憑證授權單位組合中的所有根憑證授權單位