[服务公告更新]DigiCert将于2023年3月迁移到第二代(G2)根和ICA层次结构
2023年3月8日,DigiCert将开始将所有TLS/SSL证书品牌的默认公开颁发更新为第二代(G2)根层次结构。
注意:这与我们在9月份发送的上一封电子邮件有所不同,该电子邮件表示我们会将默认的TLS/SSL颁发移至第五代(G5)根层次结构。
为什么我们现在将TLS/SSL颁发移至G2根而不是G5根?
根据Mozilla最新提议的政策变更,我们推迟了向G5 root和ICA层次结构的迁移,并提供更多时间来确保G5 root普遍存在。
2025年,Mozilla将开始在其Firefox浏览器中弃用旧的根证书,包括一些DigiCert根证书。2023年3月8日,DigiCert将停止从这些旧层次结构颁发TLS/SSL证书,并开始从我们的G2层次结构颁发它们,以确保您的证书在Firefox中保持可信。
Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:
Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:
Root Generation | DigiCert 根证书 | *Mozilla TLS 弃用日期 | *Mozilla S/MIME弃用日期 |
G1 | Baltimore CyberTrust Root | 2025年4月15日 巴尔的摩CyberTrust根证书将于2025年5月12日到期。 | N/A BaltimoreCyberTrustRoot证书将于2025年5月12日到期。 |
G1 | DigiCert Assured ID Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert Global Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert High Assurance EV Root CA | 2026年4月15日 | 2029年4月15日 |
G2 | DigiCert Global Root G2 | 2029年4月15日 | 2032年4月15日 |
G5 | DigiCert TLS RSA4096 Root G5 | 2026年1月15日 | N/A 此G5层次结构不颁发S/MIME证书。 |
*在上述日期,Mozilla也将停止信任从已弃用的根颁发的活动终端实体证书;首先是TLS/SSL证书,然后是S/MIME证书。 |
我需要做什么?
除非您执行以下任一操作,否则无需执行任何操作:
Pinroot或ICA证书
硬编码接受根证书或ICA证书
经营信托店
如果您执行以上任一操作,我们建议:
在2023年3月8日之前更新您的环境
停止固定或硬编码证书接受。
将DigiCertG2根分发到本地信任库,以确保链接到G2根证书的TLS/SSL证书是可信的。
使用此图表来识别每个TLS/SSL证书品牌的当前和新的ICA和根证书:
TLS/SSL证书品牌 | 当前G1ICA证书 | 当前的G1根证书 | 新G2ICA证书(2023年3月8日后) | 新的G2根证书(2023年3月8日之后) |
DigiCert® | DigiCert TLS RSA SHA256 2020 CA1 | DigiCert Global Root CA | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | DigiCert Global Root G2 |
DigiCert | DigiCert SHA2 Extended Validation Server CA | DigiCert High Assurance EV Root CA | DigiCert EV RSA CA G2 | DigiCert Global Root G2 |
Thawte® | Thawte RSA CA 2018 | DigiCert Global Root CA | Thawte TLS RSA CA G1 | DigiCert Global Root G2 |
Thawte | Thawte EV RSA CA 2018 | DigiCert High Assurance EV Root CA | Thawte EV RSA CA G2 | DigiCert Global Root G2 |
GeoTrust® | GeoTrust RSA CA 2018 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
GeoTrust | GeoTrust EV RSA CA 2018 | DigiCert High Assurance EV Root CA | GeoTrust EV RSA CA G2 | DigiCert Global Root G2 |
GeoTrust | GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
RapidSSL® | RapidSSL Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | RapidSSL TLS RSA CA G1 | DigiCert Global Root G2 |
Encryption Everywhere | Encryption Everywhere DV TLS CA - G1 | DigiCert Global Root CA | Encryption Everywhere DV TLS CA - G2 | DigiCert Global Root G2 |
不想停止固定或硬编码?
要了解有关 G5 根的更多信息以及为什么它们是长期公共 TLS/SSL 颁发的最佳选择,请参阅我们的知识库文章DigiCert G5 根和中间 CA 证书更新。
在决定在当前根上保留多长时间时,请确保您了解并接受在 2023年3月8日之后保留在较旧根层次结构上的风险:.000
Mozilla的根弃用计划包括链接到已弃用根的活动ICA和TLS/SSL证书。
在根证书弃用日期之后过期的TLS/SSL证书将需要从G2或更新的根层次结构重新颁发以保持可信。
访问DigiCert Trusted Root Authority Certificates页面以下载DigiCert ICA和根证书的副本。
有关证书链及其工作原理的更多信息,请参阅证书链的工作原理。
如果您有其他问题或疑虑,请联系DigiCert 支持。
DigiCert 团队
- 上一篇: 使用VMC证书保护您的电子邮件收件人
- 下一篇: DigiCert将停止销售4年期、5年期和6年期证书
- 数字证书 (DocSign证书)
- 代码签名证书
- S/MIME邮件证书
- PDF/Office文档签名证书
- 解决方案 (Solution)
- SSLCloud证书云监控
- MPKI SSL证书管理
- HTTPS全站加密
- 加密无处不在方案
- SSL证书安全评估
- HSTS防劫持
Copyright © 1998 - Gworg, Inc. All Rights Reserved. 江苏光网数字认证有限公司版权所有
苏ICP备15058404号 苏公网安备32058202010008号
