这是一个创建于 67 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://wiki.mozilla.org/CA/Root_CA_Lifecycles
https://knowledge.digicert.com/general-information/digicert-root-and-intermediate-ca-certificate-updates-2023
这样:
DigiCert Global Root CA 的有效期只能到 April 15, 2026 (证书有效期 10/Nov/2031 ),至少提前了 5.5 年;
DigiCert Global Root G2 的有效期只能到 April 15. 2029 (证书有效期 15/Jan/2038 ),至少提前了 8.5 年 ;
等等,这对以后的互联网造成巨大负面影响。
Mozilla 公司何德何能敢做出这种规定?为什么其他公司遵守了它这个规定?
https://knowledge.digicert.com/general-information/digicert-root-and-intermediate-ca-certificate-updates-2023
这样:
DigiCert Global Root CA 的有效期只能到 April 15, 2026 (证书有效期 10/Nov/2031 ),至少提前了 5.5 年;
DigiCert Global Root G2 的有效期只能到 April 15. 2029 (证书有效期 15/Jan/2038 ),至少提前了 8.5 年 ;
等等,这对以后的互联网造成巨大负面影响。
Mozilla 公司何德何能敢做出这种规定?为什么其他公司遵守了它这个规定?
第 1 条附言 · 67 天前
这 2 位就是受到影响的(以后会越来越多,大面积的,主要是 api 服务):
https://juejin.cn/post/7263035818046488631
https://blog.csdn.net/weixin_43972546/article/details/134311098
Mozilla 这个行为,比以前缩短证书有效期 3 年-->2 年--->1 年影响都大,缩短证书有效期毕竟只是更换服务端证书。
https://juejin.cn/post/7263035818046488631
https://blog.csdn.net/weixin_43972546/article/details/134311098
Mozilla 这个行为,比以前缩短证书有效期 3 年-->2 年--->1 年影响都大,缩短证书有效期毕竟只是更换服务端证书。
第 2 条附言 · 66 天前
鉴于目前 HTTPS 证书的最长有效期是 397 天,Mozilla 禁用 DigiCert Global Root CA 的时间是 2026/04/15 ,所以理论上厂商的 DigiCert Global Root CA 最后签署时间是 2025/03/14 。
第 3 条附言 · 30 天前
鉴于目前 HTTPS 证书的最长有效期是 397 天,Mozilla 禁用 DigiCert Global Root CA 的时间是 2026/04/15 ,所以理论上厂商的 DigiCert Global Root CA 最后签署时间是 2025/03/14 。
如果签署 365 天的证书,理论上厂商的 DigiCert Global Root CA 最后可以签署时间是 2025/04/14 。
也就是 2025/04/14 之前能申请到 DigiCert Global Root CA 的根证书。
如果签署 365 天的证书,理论上厂商的 DigiCert Global Root CA 最后可以签署时间是 2025/04/14 。
也就是 2025/04/14 之前能申请到 DigiCert Global Root CA 的根证书。
第 4 条附言 · 8 天前
https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
阿里云的公告,最早到 2024 年 12 月 01 日,可以通过 DigiCert Global Root CA 根证书 签发新证书。
阿里云的公告,最早到 2024 年 12 月 01 日,可以通过 DigiCert Global Root CA 根证书 签发新证书。
 |
1
whileFalse 67 天前 via Android
你写个浏览器也能规定。
至于别人理不理你 就看你浏览器市占率了。 |
 |
2
salmon5 OP @whileFalse 虽然我也主力用 Firefox ,感觉 Mozilla 小破公司这个决定,会有很大的负面影响(对它自己也是)。
|
|
3
whileFalse 67 天前 via Android
我也用 firefox ,但 firefox 真是越来越拉呀。
|
|
4
whileFalse 67 天前 via Android  1
我说的拉是指性能和特性方面的。
关于限制证书有效期,chrome 做得比 firefox 多多了 |
 |
5
garywill 67 天前
在 2026 年前重新签一个新的?
|
|
6
salmon5 OP @garywill https://www.digicert.com/kb/digicert-root-certificates.htm
已 DigiCert 为例,签了很多: DigiCert Global Root G2 DigiCert Global Root G3 DigiCert TLS RSA4096 Root G5 DigiCert TLS ECC P384 Root G5 等等。 困难点不在于重新购买证书。 而是:做为使用 https 的公司,要推动升级 client 的根证书。 |
|
7
salmon5 OP 这 2 位就是受到影响的(以后会越来越多,大面积的):
https://juejin.cn/post/7263035818046488631 https://blog.csdn.net/weixin_43972546/article/details/134311098 |
 |
8
M2K4 67 天前 via Android
十五年操作系统都能换几代了
|
 |
9
tool2d 67 天前
android 老版本是内置 ROOT 证书的,那才叫惨,过期一大片。
|
|
11
whileFalse 67 天前 via Android
@tool2d 中间证书可以用多个根证书签名,只要有一个用于签名的根证书被系统信任,中间证书就可以被信任
|
|
12
tool2d 67 天前
|
 |
13
xiaooloong 67 天前 3
PKI:Public key infrastructure
用户终端制造商是 pki 的一环,反正控制着一部分用户的终端,所以自己想干啥就干啥呗,前提是用户不愿意放弃这个终端。 目前控制用户侧跟证书分发的 消费领域 微软控制 windows 谷歌控制 android 苹果控制 iOS macOS mozilla 控制 firefox 浏览器 生产领域 各大 linux 发行版自己维护自己的 ca-certificats oracle 控制 oracle jre curl 有自己维护的,但在各 linux 发行版中都会被替换为发行版自己的 mozilla 如果是自己要求的,那也只影响使用 firefox 浏览器的用户,对于调用方是 java 的 http api 来说,确实没必要更换新根签发的证书,毕竟不是浏览器去调用的前端 api 。 或者、大不了手动更新一下 oracle jre 内的证书列表也不是不行,比如当年 oracle jre 7 不就因为跟不上时代,市面上新证书的根没在列表内,导致一大批 java 7 服务出现问题需要手动往 jre 7 里导新根么。 但如果是 pki 业界公认的根证书时间问题,需要限制到 15 年内,那肯定之后不止 mozilla 会行动。比如当年沃通证书,mozilla ban 完 apple ban ,ban 的机构足够多,沃通这 CA 的生存空间也越来越小,最后只能秽土转生 wotrust 重开新号了。 |
|
14
salmon5 OP 1
@xiaooloong #13 Mozilla 乱搞,DigiCert 和 GlobalSign 直接就跪了,这几乎影响了所有 SSL 证书厂商。
所有使用 SSL 证书的公司,都会被这个影响(个体解决倒是也简单,如果是面对几百几千几万的 API 客户,那量级就不一样了)。 |
|
15
salmon5 OP 统计了下,JDK6-7,8<8u91 默认都没内置 DigiCert Global Root G2 ,
RHEL/CentOS<6.7 、<7.2 默认都没内置 DigiCert Global Root G2 , Ubuntu Server<14.04.3 默认都没内置 DigiCert Global Root G2 |
Select Language