尊敬的火山引擎用户,您好:
DigiCert CA 于 2023年3月8日 开始其在全球的根升级作业,将所有 TLS/SSL 证书品牌的默认公开颁发体系更新为第二代 (G2) 根层次结构。
如果您通过证书中心购买了 DigiCert 相关品牌的 SSL 证书,或有意购买相关证书,建议您关注本通知。
对我有何影响
如果您只是将从证书中心下载的证书安装在 Web 服务器进行使用,CA 根升级对您没有任何影响。
如果您执行了以下操作,则 CA 根升级会对您产生影响:
如果您执行上述任一操作,我们建议您在 2023年3月8日 前更新您的环境:
背景
全球知名信任库 Mozilla 对于 CA 根证书的信任策略包含:全球所有 CA 的可信根证书生成后最少 15 年更换一次。过期的根证书将会逐步被 Mozilla 停止信任。
从 2025 年开始,Mozilla 将停止信任 DigiCert 下的一些老的根证书。因此,DigiCert 计划提前将这些根证书升级到新的 G2 根体系,以避免 DigiCert 证书的使用受到影响。
受影响的根证书
| 名称 | Mozilla 不再信任该证书的时间 | 影响范围 |
|---|---|---|
| Baltimore CyberTrust Root | 2025年4月15日 (该证书将于 2025年5月15日 过期) | 交叉中级证书(用于扩展根证书的兼容性) |
| DigiCert Global Root CA | 2026年4月15日 | DigiCert 及 DigiCert Pro 品牌的 DV 和 OV 级 SSL 证书 |
| DigiCert High Assurance EV Root CA | 2026年4月15日 | DigiCert 及 DigiCert Pro 品牌的 EV 级 SSL 证书 |
对证书使用者的影响
自 2023年3月8日 起,您通过证书中心申请的 DigiCert 证书,将开始统一使用 DigiCert 全球 G2 根体系和中级证书进行签发。
新的根体系依然可以兼容目前主流的操作系统和移动端设备。
注意
如果您在此变更前将老的根证书预置在客户端,则变更生效后新签发的证书会与客户端不兼容。这种情况下,您必须更新在客户端预置的根证书。我们不建议您将证书或者中级证书、根证书预置在客户端、App、硬件设备等终端,否则可能存在不可预期的安全风险。
其他说明
更新后的根证书 DigiCert Global Root G2 采用了 SHA256 签名算法。SHA256 签名算法的安全性比老根证书使用的 SHA1 算法强。DigiCert Global Root G2 根证书早已完成在主流操作系统和移动端、JDK 等环境的信任预置。新根体系仍然兼容当前主流操作系统和移动端设备。
DigiCert root and intermediate CA certificate updates 2023:
https://knowledge.digicert.com/generalinformation/digicert-root-and-intermediate-ca-certificate-updates-2023.html