主要观点：“不信任”指证书颁发机构（CA）因不再被信任而从根存储中移除，其颁发的证书将被视为无效，可能导致浏览器出现证书错误。如今情况不同，多数用户代理要求证书记录到公共证书透明度（CT）日志，大多数不信任不再是密钥泄露或域名验证失败，而是 CA 多次违反基线要求（BRs）。如今证书寿命比 2010 年代短，更安全，CT 要求使恶意证书可公开审计。最复杂的不信任在 2010 年代既未将所有证书记录到 CT，也存在多年前有效的证书，现在可实现前瞻性、无间隙的不信任，如 SCTNotAfter 机制，可在不影响现有证书的情况下实施不信任，在安全事件或密钥泄露时可灵活设置 SCTNotAfter 日期。Chrome 对 GLOBALTRUST 和 Entrust 的不信任都使用了 SCTNotAfter，未导致用户界面证书间隙，最佳结果是稳健的 Web PKI 且各参与方致力于用户安全。
关键信息：

• 不信任的定义及影响
• CT 日志对不信任的作用
• 如今证书寿命变化及更安全
• SCTNotAfter 机制及应用
• 不同情况下 SCTNotAfter 日期的设置
• Chrome 对某些 CA 的不信任实践
  重要细节：
• 过去不信任事件的复杂性和用户影响与 CA 大小和使用情况有关
• 每个证书需有一组签名证书时间戳（SCTs）
• BRs 由 CA/Browser Forum 维护
• 不同浏览器要求证书记录到 CT 日志
• 恶意证书需记录到 CT 日志才被信任
• SCTNotAfter 通过选择“SCTNotAfter 日期”来实现前瞻性不信任
• 在安全事件中可灵活设置 SCTNotAfter 日期以平衡证书继续工作和阻止恶意证书