目前,您正使用的Sectigo AddTrust根证书具有交叉签名的功能,其目的是为了支持一些老系统和设备,但是此根证书将于2020年5月底到期。装有此交叉签名的根证书的所有应用程序或设备都必须在2020年5月底之前进行更新,否则将面临停机或显示错误消息的风险。
绝大多数情况下,Sectigo的标准根可满足客户全部需求。同时,为满足少数特殊客户, Sectigo还可提供新的具有交叉签名选项的AAA根证书,该证书有效期长至2038年。
本篇将详细讲解交叉签名、AddTrust根证书过期和过期后的可行性替代方案的相关内容。
什么是根证书?
根证书是自签名证书,它是CA认证中心给自己颁发的证书,所以颁发者和使用者都是它本身。根证书之所以成为受信任的根证书,是因为它默认存储在浏览器或操作系统等软件的信任库中。
这些信任库通常会作为安全更新的一部分,随着浏览器或者OS系统的定期升级而更新,但是在比较老旧的设备或系统中,信任库仅作完整软件更新的一个部分——比如Windows Service补丁或可选Windows升级版本进行更新。
可能有一些设备的信任库没有更新以包含最新的现代根证书,其结果就是满足不了现代互联网所要求的标准。Android就是一个很好的例子。Android 2.3 Gingerbread依赖于AddTrust却没有安装最新的根,所以它也不支持TLS 1.2或1.3,同时它也不被供应商支持并且标记为过时。
什么是交叉签名证书?
CA通常拥有多个根证书,越老的根证书,在一些老的平台上分布就越广。为了利用这一点,CA生成交叉证书以确保其根证书可以尽可能广泛的支持应用。交叉证书就是使用一个根证书去签署另一个根证书。
交叉证书和与被签名的根证书是使用相同的公钥和名字。
举一个交叉签名证书例子:
证书名: COMODO RSA Certification Authority
颁发者: AddTrust External CA Root
https://crt.sh/?id=1044348
新的根证书使用的是与自签名的COMODO根证书相同的名字和公钥。
AddTrust External CA 根证书到期
Sectigo拥有一个名为AddTrust External CA root的根证书,该根证书用于创建Sectigo的现代根证书,如COMODO RSA CA和USERTrust RSA CA这类经交叉签名认证后颁发的根证书(以及这些证书的ECC算法版本)。这类新的根证书直到2038年才到期。
但是,AddTrust根证书将于2020年5月30日到期。
在此之后,客户端和浏览器将链接回之前使用老旧的AddTrust根证书进行交叉签名后的现代根证书。在已更新的设备或平台上将不会显示错误提示。
没有包含最新USERTrust根证书的旧版浏览器或老式设备将不再信任您的证书,同时会进一步在证书链中查找可信任的根证书,即AddTrust根证书。已安装了USERTrust根证书的最新浏览器就会信任您的证书,而无需依赖旧的AddTrust根证书。
您需要做的事
大多数情况下,包括为现代客户端或服务器系统提供服务的证书,无论您是否已将证书交叉链接到AddTrust根目录,都无需执行任何操作。
从2020年4月30日开始,对于依赖于非常老式系操作统的业务,Sectigo CA已提供一个用于交叉签名的遗留根(默认包含在证书捆绑包中),即“ AAA证书”根。但是,需要值得注意的是,那些没有进行必要更新以支持新根(如Sectigo的Comodo根目录)的系统将不可避免的缺少其他重要更新,并被视为不安全。
如果您仍然想要交叉签名到AAA证书根,请直接联系锐成客服人员协助处理。
常见问题解答
1. 2020年5月30日之后,我的证书是否仍将继续受信任?
答:是。所有新的客户端和操作系统都已有较新的COMODO和USERTrust根证书,这些根证书直到2038年才过期。
在信任库中受到人为限制或无法更新的平台上(例如,嵌入式设备),您将需要自己更新并安装新的Sectigo根证书。请确保这些设备的供应商已经为您的系统进行了必要的安全更新。如有疑惑可向锐成客服人员寻求帮助。
2. 我是否需要重新签发或重新安装我的证书?
答:不用。直到该证书自然到期日为止,您的证书将会一直受信任,不需要重新签发或重新安装。当然如果您愿意,您也可以选择停止在服务器上安装交叉证书。如果考虑到AddTrust到期后需要兼容旧版,我们可以提供替代的交叉证书,您可以在服务器上安装该证书来代替AddTrust交叉证书。
3. 我可以测试是否能看到错误提示吗?
答:可以的。如果您的证书在2020年6月及之后仍然有效,则可以将系统上的时钟设置为2020年6月1日,然后测试站点。
最新的浏览器不会显示任何错误,并且您可以看到证书链回到了COMODO或USERTrust根。(注意:某些浏览器(例如Google Chrome)会检测到您的时钟“错误”,并因此会提示一个与证书无关的警告。)
这是一个测试站点,您可以点击这里http://testsites.test.certificatetest.com/来进行测试评估。
●这些链接提供了从特定证书链签发的有效证书。
●它们可用于测试哪些客户端支持哪些根。
●您还可以将系统时钟调整到2020年6月,以查看客户端在AddTrust根证书和交叉证书到期后如何工作。
新根颁发机构:COMODO RSA / ECC CA和USERTrust RSA / ECC CA:
●USERTrust RSA CA- https://crt.sh/?id=1199354
●USERTrust ECC CA- https://crt.sh/?id=2841410
●COMODO RSA CA- https://crt.sh/?id=1720081
●COMODO ECC CA- https://crt.sh/?id=2835394
* 单击以上链接可提供证书下载。
以上根证书已在大部分主流浏览器和系统如苹果,微软,谷歌等中更新。
此外,带有AAA证书服务的交叉证书仍可与下列旧版本兼容:
•苹果iOS 3。
•苹果macOS 10.4。
•Google Android 2.3。
•Mozilla Firefox 1。
•Oracle Java JRE 1.5.0_08。
AAA证书服务自签名根证书[到期2028] - https://crt.sh/?id=331986
AAA证书服务-交叉证书:
AAA证书服务- USERTrust RSA CA- https://crt.sh/?id=1282303295
AAA证书服务- USERTrust ECC CA- https://crt.sh/?id=1282303296
(COMODO的CA将很快提供交叉证书。)
4. 如果我的基础架构或应用程序仅信任AddTrust根证书怎么办?
答:如果系统或应用程序仅信任AddTrust根证书而不信任新的Comodo或USERTrust根,那么将会在2020年5月30日之后提示错误警告。
针对传统老式系统设备的预防措施和注意事项:
●必要的话,您可能需要更新此类系统以包含更多新的根证书。如果平台不支持新的算法(例如SHA-2),那么您需要联系系统供应商进行更新。
●在应用程序或旧版设备中植入了AddTrust根证书的客户可能需要在2020年5月到期日之前嵌入新的USERTrust RSA CA 根进行替换。
●除了AddTrust根以外,Sectigo还有其他一些比较老旧的根,并且我们从其中一个生成了交叉证书,以扩展向后兼容性。该交叉证书由名为“ AAA证书服务”的根签名。
以上就是Sectigo AddTrust 根证书到期的相关知识,如果您对其仍然存在疑惑可联系客服寻求帮助!