HTTPS · 证书验证

虽然证书颁发流程以前要求证书颁发机构 (CA) 验证申请人对域的合法控制，但边界网关协议 (BGP) 攻击和前缀劫持已被用来获取欺诈性证书。

为了改进域控制验证，多视角发行确认 (MPIC) 被添加到基线要求中，因为它被证明可以有效抵御现实世界的BGP 劫持。

谷歌解释说： “MPIC实现不是从单一地理或路由有利位置执行域控制验证和授权，因为安全研究人员证明，对手可能会影响这一点，而是从多个地理位置和/或互联网服务提供商执行相同的验证。”

在要求采用MPIC的投票获得相关利益相关者的一致支持后，验证改进成为一项要求，并且从 2025年3月15日起，所有CA在颁发公众信任的证书时都必须依赖MPIC。

谷歌表示，为了确保稳健性和一致性，一些CA在其实施中使用了Open MPIC项目。

从3月15日开始，CA还必须在证书颁发过程中使用linting，以确保证书包含所有必要的信息并且格式正确。

谷歌解释说：“Linting是指分析X.509证书的自动化过程，以检测和防止错误、不一致以及不符合要求和行业标准的情况。”

该互联网巨头表示，通过linting，可以发现使用弱加密算法或过时加密算法等不安全的做法，提高互操作性，并降低不合规的风险。

存在开源和自定义的linting项目，包括“元”linters，它结合了多个项目以提高简单性和性能。

按照“共同前进”的公共路线图，从2025年7 月15日起，Chrome Root计划将禁止已证明薄弱的域控制验证方法，进一步完善Web PKI生态系统。

“我们必须共同努力，不断改进Web PKI，并在造成可衡量的损害之前减少风险和滥用的机会。我们继续重视与网络安全专业人员和 CA/浏览器论坛成员的合作，以实现更安全的互联网，”谷歌表示。