Chrome 66將導致國內網站大面積無法正常訪問，謹慎更新

閱讀全文預計耗時7分鐘

筆者作為一個業餘的開發者以及Chrome（谷歌瀏覽器）的忠實用戶一直在使用Chrome的Dev（開發者）分支版本。這個分支是專供開發者和一些喜歡嘗試新鮮功能的用戶使用的。

最近Chrome也是新更新了Chrome 66版本，但是在更新這個版本之後筆者發現很多國內的知名網站都出現了無法訪問的情況，甚至連微信公眾號的後台都打不開了。

隨後筆者發現這個情況是由HTTPS證書錯誤造成的，有的網頁本身的HTTPS證書是可用的，但是其內鏈的資源（包括CSS、JS）等使用的證書發生了錯誤導致網頁無法正常載入，而有的網頁則是本身HTTPS證書就存在問題，例如網易考拉海購、戰網等。

經過筆者的一番調查發現這些在更新後突然打不開的網站都有一個共性，他們都使用了來自GeoTrust的HTTPS證書。也就是說在Chrome 66中GeoTrust的證書被列為了不信任，導致Chrome無法正常訪問使用了GeoTrust證書的這些網站。

至於為什麼會出現這個問題，就要追溯到去年。

去年三月根據Google的調查，全球最大的CA賽門鐵克錯誤地簽發了超過三萬多張SSL證書，這些證書都是未經同意擅自簽發的，而且這些證書中有一些是給一些不存在的域名簽發的，還有一部分是Google的域名，這樣的證書存在巨大的安全隱患，可能被惡意利用做一些黑客操作。

Google作為一個大廠，也作為世界上目前最主流的瀏覽器Chrome的開發商，決定正面硬懟賽門鐵克。在去年7月Google決定在自家的產品中將賽門鐵克的SSL證書列為不信任，並在後期全面不信任來自賽門鐵克的SSL證書。

由於在Google眼裡賽門鐵克在對已簽發證書的監管和對簽發證書時的審核是存在問題的，所以Google決定分三步對賽門鐵克錯誤簽發證書的行為進行懲罰，其中第二步就是在Chrome 66中對來自賽門鐵克的證書進行安全報錯。

事實證明這一功能確實實裝在了Chrome 66中，有的網站我們可以通過錯誤頁面上的「繼續訪問」正常打開，但是有的網站由於內鏈靜態資源使用了會報安全錯誤的證書導致網站整體不能正常訪問或顯示。

GeoTrust、Thawte、RapidSSL都受到了此次Chrome改動的影響，所以這些CA簽發的證書也會引起安全錯誤。

根據這篇文章的說法，Google會在今年下半年發布的Chrome 70中完全不信任來自賽門鐵克的證書，屆時通過Chrome瀏覽器所有使用賽門鐵克證書的網站都將無法正常訪問。

如果你使用的Chrome和筆者一樣是Chrome的Dev分支最新版本（即Chrome 66），為了能夠正常訪問國內的這些網站，筆者建議你將版本降級到Chrome 65（舊版Dev或最新的Beta分支版本）。

由於Chrome本質上是綠色軟體，解壓就能使用，所以理論上Chrome是允許多版本共存的，但是由於Chrome的安裝器沒有UI，其本身的安裝邏輯不允許非Canary通道版本多版本共存，所以想要達到多版本共存需要進行以下操作：

首先我們先下載好舊版Chrome的安裝包，執行安裝之後不要急著打開Chrome，我們先使用資源管理器打開Chrome的安裝目錄，默認是C:Users[用戶名]AppDataLocalGoogleChromeApplication。

在這個目錄下我們找到chrome.exe，將這個文件重命名為其他名字，例如"new_chrome.exe"。

之後我們找到舊版Chrome的安裝包，右鍵單擊，將這個安裝包解壓縮。目前大家常用的壓縮軟體都可以解壓這個安裝包，在這裡筆者推薦使用7-zip和WinRAR這兩款壓縮軟體。

解壓之後我們能得到一個名為「chrome.7z」的文件，將其解壓到一個文件夾內，在文件夾中有一個名為「Chrome-bin」的文件夾，在其中我們可以找到"Chrome.exe"。

我們將這個Chrome.exe複製到之前的Chrome安裝目錄，打開之後Chrome就是舊版的Chrome了，而新版的Chrome則可以使用new_chrome.exe啟動。

當然你直接通過解壓縮+複製的方法把chrome.7z解壓縮出來的全部內容複製到安裝目錄或是硬碟的任意位置也是可以成功運行Chrome的。

需要注意的是鎖定在任務欄上的Chrome快捷方式即使你更改了Chrome可執行文件的名字，它仍然也會啟動新版的Chrome。但是當你啟動舊Chrome的時候仍然佔用的是任務欄上的這一格，這可能是Win10的一個Bug或是一個特別的特性。

對於這個問題我們只需要先解除Chrome的任務欄鎖定，之後運行舊版Chrome，再將其鎖定到任務欄，之後我們再通過任務欄啟動Chrome的時候啟動的就是舊版Chrome了。

在Chrome 65中使用GeoTrust等SSL證書的網站仍然可以正常訪問。

根據筆者的實測這次的改動只在Chrome中存在，火狐並沒有跟隨谷歌一起禁用掉賽門鐵克系的SSL證書。在最新版的Firefox Devloper Edition中相關網站仍然可以正常訪問。

如果國內的這些網站不更換正在使用的GeoTrust等CA的SSL證書，那麼這將意味著在未來我們的Chrome將停留在Chrome 65一段時間。

Google這一次雖然是打著安全的旗號在做這個事情，但是實際上Google本身不信任賽門鐵克證書的原因更多的可能是因為賽門鐵克擅自簽發了Google旗下一些域名的HTTPS證書，這些證書可能會威脅到Google的信息安全或是某些方面的利益。

Google畢竟不作惡，但是其本質還是一家商業企業，但是沒辦法，以Chrome在瀏覽器市場的佔有率，Google就是這麼有話語權。至於這件事是不是Google在作惡，就是仁者見仁智者見智了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！