CA Root已于2020年5月30日过期

2020-05-31 01:54:40

即将到来的AddTrust根过期-您需要了解的是,Sectigo目前提供了与AddTrust旧版根交叉签署证书的功能,以增加非常旧的系统和设备之间的支持。*此根将于2020年5月底过期。所有依赖此交叉签名根的应用程序或安装都必须在2020年5月之前更新,否则将面临中断或显示错误消息的风险。*对于绝大多数用例,Sectigo的标准root提供所需的全面客户支持。*对于不寻常的情况,Sectigo提供与其AAA根的新交叉签名选项,该选项要到2028年才会到期。请阅读本文,以获得交叉签名、AddTrust根到期以及该到期日期之后的潜在替代方案的完整解释。有关常见问题的解答,还请参阅我们的常见问题解答文档。

什么是根证书?根证书是自签名证书。这意味着“Issuer”和“Subject”是相同的。根证书由于默认包括在诸如浏览器或OS之类的软件的信任存储中而成为受信任的根证书(或受信任的CA或信任锚)。这些信任存储区由浏览器软件或操作系统频繁更新,通常作为安全更新的一部分,但在较旧的过时平台上,它们通常仅作为完整软件更新(如Windows Service Pack或可选的Windows Update版本)的一部分进行更新。您站点的证书是从一个“链”颁发的或“中间”CA颁发的,它完成了返回这些受信任根证书的路径。需要注意的是,安全更新在当今非常重要。可能有一些设备没有更新以包含现代词根,但因此也不支持现代互联网所需的标准。Android就是一个很好的例子。虽然Android 2.3姜饼没有安装现代的root,并依赖于AddTrust,但它也不支持TLS 1.2或1.3,并且不受供应商的支持并被贴上过时的标签。有关更多信息,请查看本文:*Sectigo Chain Hierarchy and Intermediate Roots。

什么是交叉签名?CA通常控制多个根证书,通常根证书越旧,它在较旧平台上的分布就越广泛。为了利用这一事实,CA生成交叉证书以确保其证书得到尽可能广泛的支持。交叉证书是指一个根证书用于签署另一个根证书。交叉证书使用与正在签名的根相同的公钥和主题。例如,交叉证书可以是:Subject:Comodo RSA证书颁发机构颁发者:AddTrust外部CA根https://crt.sh/?id=1044348使用与自签名的Comodo根证书相同的主题和公钥。浏览器和客户端将链接回它们信任的“最佳”根证书。

AddTrust External CA Expture Sectigo控制名为AddTrust External CA Root的根证书,该证书已用于创建Sectigo的现代根证书、Comodo RSA证书颁发机构和USERTrust RSA证书颁发机构(以及这些根的ECC版本)的交叉证书。这些树根要到2038年才会过期。但是,AddTrust外部CA根将于2020年5月30日到期。在此日期之后,客户端和浏览器将链接回旧的AddTrust用于交叉签名的现代根。任何更新、更新的设备或平台上都不会显示任何错误。

证书链图没有现代“USERTRust”根的旧式浏览器或较旧的设备不会信任它,因此会在链上进一步查找它信任的根,即AddTrust外部CA根。更现代的浏览器应该已经安装了USERTrust根并信任它,而不需要依赖较旧的AddTrust根。

对于大多数用例,包括为现代客户端或服务器系统提供服务的证书,无论您是否颁发了交叉链接到AddTrust根的证书,都不需要执行任何操作。

截至2020年4月30日:对于依赖于非常旧的系统的业务流程,Sectigo已提供(默认情况下在证书捆绑包中)用于交叉签名的新遗留根,即“AAA证书服务”根。但是,对于任何依赖于非常旧的遗留系统的进程,请格外小心。没有接收到支持较新根目录(如Sectigo的Comodo根目录)所需的更新的系统将不可避免地丢失其他重要的安全更新,因此应该被认为是不安全的。如果您仍想交叉签名到AAA证书服务根,请直接联系Sectigo。常见问题。

2020年5月30日之后,我的证书是否仍然可信?是。所有现代客户端和操作系统都有更新的、现代的Comodo和USERTrust根,它们要到2038年才会过期。在平台上,信任商店已经成为

您还可以将系统时钟调整到2020年6月,以查看AddTrust根证书和交叉证书过期后客户端的工作情况。

现代根:Comodo RSA/ECC证书颁发机构和USERTrust RSA/ECC证书颁发机构:*单击crt.sh链接上的证书标签提供证书文件本身的下载*这些根添加到以下平台:Apple:Microsoft:Windows XP(通过自动根更新;请注意,在Vista之前,Windows不支持ECC)。

Mozilla:谷歌:甲骨文:Opera:360浏览器:与Aaa证书服务的交叉证书提供与旧版本的兼容性:AAA证书服务自签名根[2028年到期]-https://crt.sh/?id=331986 AAA证书服务-交叉证书:AAA证书服务-USERTrust RSA证书颁发机构-https://crt.sh/?id=1282303295-AAA证书服务-USERTrust ECC证书颁发机构-https://crt.sh/?id=1282303296 AAA证书服务-Comodo RSA证书颁发机构-HTTPS。://crt.sh/?id=2545965608 aaa证书服务-科摩罗ECC证书颁发机构-https://crt.sh/?id=2545966120。

如果我的基础架构或应用程序只信任AddTrust,该怎么办?如果系统或应用程序只信任AddTrust外部CA根,而不信任更现代的Comodo或USERTrust根-错误将在2020年5月30日之后发生。*如果可能的话,你可能需要更新任何这样的系统,以包括更现代的根源。如果该平台不支持现代算法(例如,SHA-2),那么您需要与该系统供应商商谈更新事宜。

已将AddTrust External CA Root嵌入其应用程序或自定义传统设备的客户可能需要在2020年5月到期日期之前嵌入新的USERTrust RSA CA Root更换。

除了AddTrust根之外,Sectigo还有其他更老的遗留根,为了扩展向后兼容性,我们已经从一个根生成了交叉证书。交叉证书由名为“AAA证书服务”的根签名。有关详细信息,请与支持部门或您的客户经理联系。