SSL 证书
数字证书
安全运维
域名
企业服务
SSL 证书
数字证书
安全运维
域名
企业服务
博客 > 重要通知:DigiCert根证书将于2023年3月8日升级到SHA2签名算法
浏览量:4697次评论:0次
作者:Sissi时间:2023-02-22 10:32:15
由于SHA1签名算法的根证书存在安全隐患,Mozilla决定在2025/4/15日取消对Digicert Baltimore CyberTrust Root的信任,2026/4/15取消对DigiCert Assured ID Root CA 、DigiCert Global Root CA、DigiCert High Assurance EV Root CA等根证书的信任。
受此信任政策变更影响,DigiCert将从2023年3月8日起升级到第二代根(G2,基于SHA2根签名算法)和新的中级CA(ICA),并逐步停止从旧根证书签发SSL/TLS证书。考虑到Mozilla从2025才开始取消信任,Digicert用户有足够的时间重签或在信任取消前使用上最新的Digicert G2根证书。
具体升级情况如下:
1、2023年3月8日前已签发生效的证书不受影响,可正常使用和替换;
2、2023年3月8日起,DigiCert DV SSL证书将逐步通过G2根证书和新的ICA证书签发;
3、2023年3月8日~2023年7月1日,DigiCert OV SSL证书和DigiCert EV SSL证书将逐步通过G2根证书和新的ICA证书签发。
DigiCert根证书变更有什么影响?
1、新的根证书安全性更高,建议尽快升级或者重签的方式让SSL证书升级到新根上;
2、新证书的证书链将会使用新的根证书签发体系,安装证书时,请确保包含DigiCert提供的ICA证书;Digicert G2证书的生成日期在2013/8/1日,所以这个日期以前发布的操作系统或浏览器都不能识别该证书,如果您的客户或者网络环境中存在老系统的话,建议使用Digicert提供的G5(也是Digicert的一个SHA2根)和G1的交叉根证书,能够有效的兼容老系统同时安全性也有保障;
3、如果服务端或客户端预埋了旧根证书和ICA证书,由G2根证书签发的新证书将出现校验异常而中断的情况,请预留好时间,及时解除预埋操作。如有疑问,可联系我们的技术人员,上海锐成将为您提供专业的建议和协助。
目前国内主流的SSL证书都是基于哪些签名算法?
基于SHA2根签发SSL证书在欧美已经进行了1-2年,CA虽然支持基于SHA1根签发SSL证书,但是绝大部分品牌都已经是基于SHA2根来签发证书了。近期开始强制转SHA2根的SSL证书,主要是考虑到Mozilla停止对SHA1根的信任。
目前国内主流的基于SHA2根的SSL证书品牌包括:
以上品牌在支持SHA2根的同时,一般都通过和SHA1的交叉来对老系统提供兼容支持。
国内基于SHA1根签发的SSL证书品牌包括:
关于不同品牌SHA2根的兼容性
以下是一些主流CA的SHA2根证书的汇总情况:
|
根 |
所属CA |
最早的入根许可日期 |
相关SSL证书品牌 |
|
USERTrust |
Sectigo |
2010/2/1 |
Sectigo, PositiveSSL, 锐安信,Baidu证书,DNSPOD |
|
CFCA |
CFCA |
2012/8/8 |
CFCA证书 |
|
GlobalSign |
GlobalSign |
2009/3/18 |
GlobalSign |
|
Digicert G2 |
Digicert |
2013/8/1 |
Digicert, Geotrust, RapidSSL, Thawte等 |
基于以上表格,在SHA1的根全部不可信后,GlobalSign SHA2根证书的兼容性最高,然后是Sectigo,CFCA。
Mozilla对不同原根证书的不再信任日期和DigiCert通知原文,请见:
相关文章推荐
2024-11-22 14:02:30
2024-11-21 15:50:11
2024-11-19 14:40:48
2024-11-18 10:59:34
2024-11-15 14:13:40
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市普陀区真南路1199弄智创Top8号楼602A单元
商务合作:business@racent.com
投诉意见:media@racent.com
代理域名注册服务机构:西部数码 | 国外域名合作:TUCOWS
我的评论
还未登录?点击登录