Sectigo AddTrust根证书将于2020年5月30日到期

目前，您正使用的Sectigo AddTrust根证书具有交叉签名的功能，其目的是为了支持一些老系统和设备，但是此根证书将于2020年5月底到期。装有此交叉签名的根证书的所有应用程序或设备都必须在2020年5月底之前进行更新，否则将面临停机或显示错误消息的风险。

绝大多数情况下，Sectigo的标准根可满足客户全部需求。同时，为满足少数特殊客户， Sectigo还可提供新的具有交叉签名选项的AAA根证书，该证书有效期长至2038年。

本篇将详细讲解交叉签名、AddTrust根证书过期和过期后的可行性替代方案的相关内容。

什么是根证书？

根证书是自签名证书，它是CA认证中心给自己颁发的证书，所以颁发者和使用者都是它本身。根证书之所以成为受信任的根证书，是因为它默认存储在浏览器或操作系统等软件的信任库中。

这些信任库通常会作为安全更新的一部分，随着浏览器或者OS系统的定期升级而更新，但是在比较老旧的设备或系统中，信任库仅作完整软件更新的一个部分——比如Windows Service补丁或可选Windows升级版本进行更新。

可能有一些设备的信任库没有更新以包含最新的现代根证书，其结果就是满足不了现代互联网所要求的标准。Android就是一个很好的例子。Android 2.3 Gingerbread依赖于AddTrust却没有安装最新的根，所以它也不支持TLS 1.2或1.3，同时它也不被供应商支持并且标记为过时。

什么是交叉签名证书？

CA通常拥有多个根证书，越老的根证书，在一些老的平台上分布就越广。为了利用这一点，CA生成交叉证书以确保其根证书可以尽可能广泛的支持应用。交叉证书就是使用一个根证书去签署另一个根证书。

交叉证书和与被签名的根证书是使用相同的公钥和名字。

举一个交叉签名证书例子:

证书名: COMODO RSA Certification Authority

颁发者: AddTrust External CA Root

https://crt.sh/?id=1044348

新的根证书使用的是与自签名的COMODO根证书相同的名字和公钥。

AddTrust External CA 根证书到期

Sectigo拥有一个名为AddTrust External CA root的根证书，该根证书用于创建Sectigo的现代根证书，如COMODO RSA CA和USERTrust RSA CA这类经交叉签名认证后颁发的根证书（以及这些证书的ECC算法版本）。这类新的根证书直到2038年才到期。

但是，AddTrust根证书将于2020年5月30日到期。

在此之后，客户端和浏览器将链接回之前使用老旧的AddTrust根证书进行交叉签名后的现代根证书。在已更新的设备或平台上将不会显示错误提示。

证书链图

没有包含最新USERTrust根证书的旧版浏览器或老式设备将不再信任您的证书，同时会进一步在证书链中查找可信任的根证书，即AddTrust根证书。已安装了USERTrust根证书的最新浏览器就会信任您的证书，而无需依赖旧的AddTrust根证书。

您需要做的事

大多数情况下，包括为现代客户端或服务器系统提供服务的证书，无论您是否已将证书交叉链接到AddTrust根目录，都无需执行任何操作。

从2020年4月30日开始，对于依赖于非常老式系操作统的业务，Sectigo CA已提供一个用于交叉签名的遗留根（默认包含在证书捆绑包中），即“ AAA证书”根。但是，需要值得注意的是，那些没有进行必要更新以支持新根（如Sectigo的Comodo根目录）的系统将不可避免的缺少其他重要更新，并被视为不安全。

如果您仍然想要交叉签名到AAA证书根，请直接联系锐成客服人员协助处理。

常见问题解答

1. 2020年5月30日之后，我的证书是否仍将继续受信任？

答：是。所有新的客户端和操作系统都已有较新的COMODO和USERTrust根证书，这些根证书直到2038年才过期。

在信任库中受到人为限制或无法更新的平台上（例如，嵌入式设备），您将需要自己更新并安装新的Sectigo根证书。请确保这些设备的供应商已经为您的系统进行了必要的安全更新。如有疑惑可向锐成客服人员寻求帮助。

2. 我是否需要重新签发或重新安装我的证书？

答：不用。直到该证书自然到期日为止，您的证书将会一直受信任，不需要重新签发或重新安装。当然如果您愿意，您也可以选择停止在服务器上安装交叉证书。如果考虑到AddTrust到期后需要兼容旧版，我们可以提供替代的交叉证书，您可以在服务器上安装该证书来代替AddTrust交叉证书。

3. 我可以测试是否能看到错误提示吗？

答：可以的。如果您的证书在2020年6月及之后仍然有效，则可以将系统上的时钟设置为2020年6月1日，然后测试站点。

最新的浏览器不会显示任何错误，并且您可以看到证书链回到了COMODO或USERTrust根。（注意：某些浏览器（例如Google Chrome）会检测到您的时钟“错误”，并因此会提示一个与证书无关的警告。）

这是一个测试站点，您可以点击这里http://testsites.test.certificatetest.com/来进行测试评估。

● 这些链接提供了从特定证书链签发的有效证书。

● 它们可用于测试哪些客户端支持哪些根。

● 您还可以将系统时钟调整到2020年6月，以查看客户端在AddTrust根证书和交叉证书到期后如何工作。

新根颁发机构：COMODO RSA / ECC CA和USERTrust RSA / ECC CA：

● USERTrust RSA CA- https://crt.sh/?id=1199354

● USERTrust ECC CA- https://crt.sh/?id=2841410

● COMODO RSA CA- https://crt.sh/?id=1720081

● COMODO ECC CA- https://crt.sh/?id=2835394

* 单击以上链接可提供证书下载。

以上根证书已在大部分主流浏览器和系统如苹果，微软，谷歌等中更新。

此外，带有AAA证书服务的交叉证书仍可与下列旧版本兼容：

• 苹果iOS 3。

• 苹果macOS 10.4。

• Google Android 2.3。

• Mozilla Firefox 1。

• Oracle Java JRE 1.5.0_08。

AAA证书服务自签名根证书[到期2028] - https://crt.sh/?id=331986

AAA证书服务-交叉证书：

AAA证书服务- USERTrust RSA CA- https://crt.sh/?id=1282303295

AAA证书服务- USERTrust ECC CA- https://crt.sh/?id=1282303296 

(COMODO的CA将很快提供交叉证书。)

4. 如果我的基础架构或应用程序仅信任AddTrust根证书怎么办？

答：如果系统或应用程序仅信任AddTrust根证书而不信任新的Comodo或USERTrust根，那么将会在2020年5月30日之后提示错误警告。

针对传统老式系统设备的预防措施和注意事项：

● 必要的话，您可能需要更新此类系统以包含更多新的根证书。如果平台不支持新的算法（例如SHA-2），那么您需要联系系统供应商进行更新。

● 在应用程序或旧版设备中植入了AddTrust根证书的客户可能需要在2020年5月到期日之前嵌入新的USERTrust RSA CA 根进行替换。

● 除了AddTrust根以外，Sectigo还有其他一些比较老旧的根，并且我们从其中一个生成了交叉证书，以扩展向后兼容性。该交叉证书由名为“ AAA证书服务”的根签名。

以上就是Sectigo AddTrust 根证书到期的相关知识，如果您对其仍然存在疑惑可联系锐成客服寻求帮助！