CA Root已于2020年5月30日过期

即将到来的AddTrust根过期-您需要了解的是，Sectigo目前提供了与AddTrust旧版根交叉签署证书的功能，以增加非常旧的系统和设备之间的支持。*此根将于2020年5月底过期。所有依赖此交叉签名根的应用程序或安装都必须在2020年5月之前更新，否则将面临中断或显示错误消息的风险。*对于绝大多数用例，Sectigo的标准root提供所需的全面客户支持。*对于不寻常的情况，Sectigo提供与其AAA根的新交叉签名选项，该选项要到2028年才会到期。请阅读本文，以获得交叉签名、AddTrust根到期以及该到期日期之后的潜在替代方案的完整解释。有关常见问题的解答，还请参阅我们的常见问题解答文档。

什么是根证书？根证书是自签名证书。这意味着“Issuer”和“Subject”是相同的。根证书由于默认包括在诸如浏览器或OS之类的软件的信任存储中而成为受信任的根证书(或受信任的CA或信任锚)。这些信任存储区由浏览器软件或操作系统频繁更新，通常作为安全更新的一部分，但在较旧的过时平台上，它们通常仅作为完整软件更新(如Windows Service Pack或可选的Windows Update版本)的一部分进行更新。您站点的证书是从一个“链”颁发的或“中间”CA颁发的，它完成了返回这些受信任根证书的路径。需要注意的是，安全更新在当今非常重要。可能有一些设备没有更新以包含现代词根，但因此也不支持现代互联网所需的标准。Android就是一个很好的例子。虽然Android 2.3姜饼没有安装现代的root，并依赖于AddTrust，但它也不支持TLS 1.2或1.3，并且不受供应商的支持并被贴上过时的标签。有关更多信息，请查看本文：*Sectigo Chain Hierarchy and Intermediate Roots。

什么是交叉签名？CA通常控制多个根证书，通常根证书越旧，它在较旧平台上的分布就越广泛。为了利用这一事实，CA生成交叉证书以确保其证书得到尽可能广泛的支持。交叉证书是指一个根证书用于签署另一个根证书。交叉证书使用与正在签名的根相同的公钥和主题。例如，交叉证书可以是：Subject：Comodo RSA证书颁发机构颁发者：AddTrust外部CA根https://crt.sh/?id=1044348使用与自签名的Comodo根证书相同的主题和公钥。浏览器和客户端将链接回它们信任的“最佳”根证书。

AddTrust External CA Expture Sectigo控制名为AddTrust External CA Root的根证书，该证书已用于创建Sectigo的现代根证书、Comodo RSA证书颁发机构和USERTrust RSA证书颁发机构(以及这些根的ECC版本)的交叉证书。这些树根要到2038年才会过期。但是，AddTrust外部CA根将于2020年5月30日到期。在此日期之后，客户端和浏览器将链接回旧的AddTrust用于交叉签名的现代根。任何更新、更新的设备或平台上都不会显示任何错误。

证书链图没有现代“USERTRust”根的旧式浏览器或较旧的设备不会信任它，因此会在链上进一步查找它信任的根，即AddTrust外部CA根。更现代的浏览器应该已经安装了USERTrust根并信任它，而不需要依赖较旧的AddTrust根。

对于大多数用例，包括为现代客户端或服务器系统提供服务的证书，无论您是否颁发了交叉链接到AddTrust根的证书，都不需要执行任何操作。

截至2020年4月30日：对于依赖于非常旧的系统的业务流程，Sectigo已提供(默认情况下在证书捆绑包中)用于交叉签名的新遗留根，即“AAA证书服务”根。但是，对于任何依赖于非常旧的遗留系统的进程，请格外小心。没有接收到支持较新根目录(如Sectigo的Comodo根目录)所需的更新的系统将不可避免地丢失其他重要的安全更新，因此应该被认为是不安全的。如果您仍想交叉签名到AAA证书服务根，请直接联系Sectigo。常见问题。

2020年5月30日之后，我的证书是否仍然可信？是。所有现代客户端和操作系统都有更新的、现代的Comodo和USERTrust根，它们要到2038年才会过期。在平台上，信任商店已经成为

您还可以将系统时钟调整到2020年6月，以查看AddTrust根证书和交叉证书过期后客户端的工作情况。

现代根：Comodo RSA/ECC证书颁发机构和USERTrust RSA/ECC证书颁发机构：*单击crt.sh链接上的证书标签提供证书文件本身的下载*这些根添加到以下平台：Apple：Microsoft：Windows XP(通过自动根更新；请注意，在Vista之前，Windows不支持ECC)。

Mozilla：谷歌：甲骨文：Opera：360浏览器：与Aaa证书服务的交叉证书提供与旧版本的兼容性：AAA证书服务自签名根[2028年到期]-https://crt.sh/?id=331986 AAA证书服务-交叉证书：AAA证书服务-USERTrust RSA证书颁发机构-https://crt.sh/?id=1282303295-AAA证书服务-USERTrust ECC证书颁发机构-https://crt.sh/?id=1282303296 AAA证书服务-Comodo RSA证书颁发机构-HTTPS。：//crt.sh/？id=2545965608 aaa证书服务-科摩罗ECC证书颁发机构-https://crt.sh/?id=2545966120。

如果我的基础架构或应用程序只信任AddTrust，该怎么办？如果系统或应用程序只信任AddTrust外部CA根，而不信任更现代的Comodo或USERTrust根-错误将在2020年5月30日之后发生。*如果可能的话，你可能需要更新任何这样的系统，以包括更现代的根源。如果该平台不支持现代算法(例如，SHA-2)，那么您需要与该系统供应商商谈更新事宜。

已将AddTrust External CA Root嵌入其应用程序或自定义传统设备的客户可能需要在2020年5月到期日期之前嵌入新的USERTrust RSA CA Root更换。

除了AddTrust根之外，Sectigo还有其他更老的遗留根，为了扩展向后兼容性，我们已经从一个根生成了交叉证书。交叉证书由名为“AAA证书服务”的根签名。有关详细信息，请与支持部门或您的客户经理联系。