什么是根证书?
根证书是自签名证书。这意味着“发行人”和“主题”相同。根证书由于默认情况下包含在诸如浏览器或OS之类的软件的信任库中而成为受信任的根证书(或受信任的CA或信任锚)。

这些信任库经常通过浏览器软件或OS进行更新,通常作为安全更新的一部分,但是在较旧的过时平台上,它们通常仅作为完整软件更新(例如Windows Service Pack或可选的Windows Update版本)的一部分进行更新。

您的站点的证书是从“发行”或“中间” CA的“链”中颁发的,CA完成了返回这些受信任根证书的路径。

重要的是要注意,安全更新在今天至关重要。可能有些设备没有更新以包含现代根源,但结果也不支持现代互联网所要求的标准。一个很好的例子是Android。虽然Android 2.3 Gingerbread没有安装现代版本并且依赖于AddTrust,但它也不支持TLS 1.2或1.3,并且不被供应商支持和标记为过时。

什么是交叉签名?
CA通常控制多个根证书,并且根通常越旧,它在较旧平台上的分布就越广泛。为了利用这一事实,CA生成交叉证书以确保其证书得到尽可能广泛的支持。交叉证书是使用一个根证书签署另一个证书的地方。
交叉证书使用与所签名根相同的公钥和主题。

例如,交叉证书可以是:
主题:COMODO RSA证书颁发机构
颁发者:AddTrust External CA Root
https://crt.sh/?id=1044348
使用与自签名的COMODO根证书相同的主题和公钥。

浏览器和客户端将链接回他们信任的“最佳”根证书。

AddTrust External CA 根证书到期
Sectigo控制着称为AddTrust External CA根证书,该根证书已用于创建与Sectigo的现代根证书,COMODO RSA Certification Authority和USERTrust RSA Certification Authority 交叉签名后颁发的根证书(以及这些根证书的ECC版本)。这些根证书直到2038年才到期。

但是,AddTrust External CA根证书将于2020年5月30日到期。

在此日期之后,客户端和浏览器将链接回使用较旧的AddTrust根证书交叉签名的现代根证书。在已更新的任何更新的,更新的设备或平台上,不会显示任何错误。

证书链图
用户添加的图片


不具有现代“ USERTRust”根证书的旧版浏览器或较旧的设备将不信任它,因此将在链上进一步查找它信任的根证书,即AddTrust External CA根证书。一个更现代的浏览器将已经安装了USERTrust根证书并信任它,而无需依赖较旧的AddTrust根证书。

您需要做什么
对于大多数用例,包括为现代客户端或服务器系统提供服务的证书,无论您是否已将证书交叉链接到AddTrust根证书,都无需执行任何操作。

截至2020年4月30日:对于依赖于非常老的系统的业务流程,Sectigo已提供(默认情况下在证书捆绑包中)一个用于交叉签名的新根证书,即“ AAA证书服务”。但是,对于依赖于非常旧的旧系统的任何过程,请格外谨慎。没有收到支持较新根证书(例如Sectigo的COMODO根证书)所需的更新的系统将不可避免地缺少其他重要的安全更新,因此应视为不安全。如果您仍然想对AAA证书服务根证书进行交叉签名,请直接联系Sectigo。


常见问题

在2020年5月30日之后,我的证书是否仍然会被信任?
是的。所有现代客户端和操作系统都具有较新的现代COMODO和USERTrust根证书,这些根证书要到2038年才到期。在信任存储受到人为限制或无法更新的平台上(例如,嵌入式设备),您将需要更新并安装较新的Sectigo根证书。请确保这些设备还具有来自供应商的必要安全更新。

我是否需要重新发行或重新安装我的证书?
不需要。您的证书将一直受信任,直到其自然到期日为止,并且不需要重新发行或重新安装。如果愿意,您可以选择停止在服务器上安装交叉证书。如果您在AddTrust到期后需要旧版兼容性,我们可以提供替代的交叉证书,您可以在服务器上安装该证书来代替AddTrust交叉证书。请参阅下面的更多细节。

我可以测试或检查是否看不到任何错误吗?
是。如果您拥有在2020年6月及之后有效的证书,则可以将系统上的时钟设置为2020年6月1日,然后测试站点。
现代浏览器不会显示任何错误,并且您可以看到证书链接回到了COMODO或USERTrust根证书。(注意:某些浏览器(例如Google Chrome)会检测到您的时钟“错误”,并显示与证书无关的警告。)

这是一个测试站点,您可以http://testsites.test.certificatetest.com用来评估您的环境 

  • 这些链接提供了从特定链发行的有效证书。
  • 它们可用于测试哪些客户端支持哪些根。
  • 您还可以将系统时钟调整到2020年6月,以查看客户端在AddTrust根证书和交叉证书到期后如何工作。


现代的根证书:COMODO RSA / ECC Certification Authority和USERTrust RSA / ECC Certification Authority:


*单击crt.sh链接上的' certificate '可提供证书文件下载*

这些根证书自以下版本以来已添加到以下平台:

Apple

  • macOS Sierra 10.12.1公开Beta 2
  • iOS 10

Microsoft

  • Windows XP(通过自动根证书更新;请注意,直到Vista,Windows才支持ECC)
  • Windows Phone 7

Mozilla

  • Firefox 3.0.4(COMODO ECC证书颁发机构)
  • Firefox 36(其他3个个根证书)

Google

  • Android 2.3(COMODO ECC认证中心)
  • Android 5.1(其他3个根证书)

Oracle

  • Java JRE 8u51

Opera

  • [2012年12月发布的浏览器]

360 Browser:

      • SE 10.1.1550.0 and Extreme browser 11.0.2031.0

 

      带有AAA证书服务的交叉证书可与旧版本兼容:
      • 苹果iOS 3。
      • 苹果macOS 10.4。
      • Google Android 2.3。
      • Mozilla Firefox 1。
      • Oracle Java JRE 1.5.0_08。

AAA证书服务自签名根[到期2028年] - https://crt.sh/?id=331986

AAA证书服务-交叉证书
AAA证书服务- USERTrust RSA Certification Authority- https://crt.sh/? ID = 1282303295 
AAA证书服务- USERTrust ECC Certification Authority- https://crt.sh/?id=1282303296
AAA证书服务-COMODO RSA Certification Authority- https://crt.sh/?id=2545965608
AAA证书服务-COMODO ECC Certification Authority-https: //crt.sh/?id=2545966120

如果我拥有仅信任AddTrust的基础架构或应用程序怎么办?

      如果系统或应用程序仅信任AddTrust根证书而不是更现代的Comodo或USERTrust根证书,则将在2020年5月30日之后发生错误。

 

遗留环境/设备的预防措施和注意事项:

    • 如果可能的话,您可能需要更新任何此类系统以包含更多现代根源。如果平台不支持现代算法(例如SHA-2),则您需要与该系统供应商谈谈更新。

    • 将AddTrust 根证书嵌入其应用程序或自定义旧版设备中的客户可能需要在2020年5月的到期日期之前嵌入新的USERTrust RSA CA Root替代品。

    • Sectigo除了AddTrust根证书以外,还有其他较旧的根证书,并且我们已经从其中生成了交叉证书,以扩展向后兼容性。交叉证书由称为“ AAA证书服务”的根签名。请联系支持或您的客户经理以获取详细信息。



Вторник, Июнь 2, 2020

« Назад