由于SHA1签名算法的根证书存在安全隐患,Mozilla决定在2025/4/15日取消对Digicert Baltimore CyberTrust Root的信任,2026/4/15取消对DigiCert Assured ID Root CA 、DigiCert Global Root CA、DigiCert High Assurance EV Root CA等根证书的信任。
受此信任政策变更影响,DigiCert将从2023年3月8日起升级到第二代根(G2,基于SHA2根签名算法)和新的中级CA(ICA),并逐步停止从旧根证书签发SSL/TLS证书。考虑到Mozilla从2025才开始取消信任,Digicert用户有足够的时间重签或在信任取消前使用上最新的Digicert G2根证书。
具体升级情况如下:
1、2023年3月8日前已签发生效的证书不受影响,可正常使用和替换;
2、2023年3月8日起,DigiCert DV SSL证书将逐步通过G2根证书和新的ICA证书签发;
3、2023年3月8日~2023年7月1日,DigiCert OV SSL证书和DigiCert EV SSL证书将逐步通过G2根证书和新的ICA证书签发。
DigiCert根证书变更有什么影响?
1、新的根证书安全性更高,建议尽快升级或者重签的方式让SSL证书升级到新根上;
2、新证书的证书链将会使用新的根证书签发体系,安装证书时,请确保包含DigiCert提供的ICA证书;Digicert G2证书的生成日期在2013/8/1日,所以这个日期以前发布的操作系统或浏览器都不能识别该证书,如果您的客户或者网络环境中存在老系统的话,建议使用Digicert提供的G5(也是Digicert的一个SHA2根)和G1的交叉根证书,能够有效的兼容老系统同时安全性也有保障;
3、如果服务端或客户端预埋了旧根证书和ICA证书,由G2根证书签发的新证书将出现校验异常而中断的情况,请预留好时间,及时解除预埋操作。
目前国内主流的SSL证书都是基于哪些签名算法?
基于SHA2根签发SSL证书在欧美已经进行了1-2年,CA虽然支持基于SHA1根签发SSL证书,但是绝大部分品牌都已经是基于SHA2根来签发证书了。近期开始强制转SHA2根的SSL证书,主要是考虑到Mozilla停止对SHA1根的信任。
目前国内主流的基于SHA2根的SSL证书品牌包括:
- GlobalSign SSL
- CFCA
- 百度Trust证书
- 上海CA SSL证书
- DNSPOD SSL证书
- iTrus SSL证书
以上品牌在支持SHA2根的同时,一般都通过和SHA1的交叉来对老系统提供兼容支持。
国内基于SHA1根签发的SSL证书品牌包括:
- Digicert(2023/3/8起,部分类型和品牌开始基于SHA2根签发;Digicert目前还有针对国内定制的SSL证书,该部分证书还是基于SHA1根,正式转为SHA2根的计划还需要等官方通知)
- TrustAsia (转SHA2根的时间待定, 目前还是以SHA1根证书为主)
关于不同品牌SHA2根的兼容性
以下是一些主流CA的SHA2根证书的汇总情况:
|
根 |
所属CA |
最早的入根许可日期 |
相关SSL证书品牌 |
|
USERTrust |
Sectigo |
2010/2/1 |
Sectigo, PositiveSSL, 锐安信,Baidu证书,DNSPOD |
|
CFCA |
CFCA |
2012/8/8 |
CFCA证书 |
|
GlobalSign |
GlobalSign |
2009/3/18 |
GlobalSign |
|
Digicert G2 |
Digicert |
2013/8/1 |
Digicert, Geotrust, RapidSSL, Thawte等 |
基于以上表格,在SHA1的根全部不可信后,GlobalSign SHA2根证书的兼容性最高,然后是Sectigo,CFCA。
Mozilla对不同原根证书的不再信任日期和DigiCert通知原文,请见:
「本站提供免费SSL证书申请和免费注册上海公司服务,有需要请联系微信:Renqigroup」