2023年3月8日,DigiCert将开始将所有TLS/SSL证书品牌的默认公开颁发更新为第二代(G2)根层次结构。
注意:这与我们在9月份发送的上一封电子邮件有所不同,该电子邮件表示我们会将默认的TLS/SSL颁发移至第五代(G5)根层次结构。
为什么我们现在将TLS/SSL颁发移至G2根而不是G5根?
根据Mozilla最新提议的政策变更,我们推迟了向G5 root和ICA层次结构的迁移,并提供更多时间来确保G5 root普遍存在。
2025年,Mozilla将开始在其Firefox浏览器中弃用旧的根证书,包括一些DigiCert根证书。2023年3月8日,DigiCert将停止从这些旧层次结构颁发TLS/SSL证书,并开始从我们的G2层次结构颁发它们,以确保您的证书在Firefox中保持可信。
Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:
Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:
Root Generation | DigiCert 根证书 | *Mozilla TLS 弃用日期 | *Mozilla S/MIME弃用日期 |
G1 | Baltimore CyberTrust Root | 2025年4月15日 巴尔的摩CyberTrust根证书将于2025年5月12日到期。 | N/A BaltimoreCyberTrustRoot证书将于2025年5月12日到期。 |
G1 | DigiCert Assured ID Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert Global Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert High Assurance EV Root CA | 2026年4月15日 | 2029年4月15日 |
G2 | DigiCert Global Root G2 | 2029年4月15日 | 2032年4月15日 |
G5 | DigiCert TLS RSA4096 Root G5 | 2026年1月15日 | N/A 此G5层次结构不颁发S/MIME证书。 |
*在上述日期,Mozilla也将停止信任从已弃用的根颁发的活动终端实体证书;首先是TLS/SSL证书,然后是S/MIME证书。 |
我需要做什么?
除非您执行以下任一操作,否则无需执行任何操作:
Pinroot或ICA证书
硬编码接受根证书或ICA证书
经营信托店
如果您执行以上任一操作,我们建议:
在2023年3月8日之前更新您的环境
停止固定或硬编码证书接受。
将DigiCertG2根分发到本地信任库,以确保链接到G2根证书的TLS/SSL证书是可信的。
使用此图表来识别每个TLS/SSL证书品牌的当前和新的ICA和根证书:
TLS/SSL证书品牌 | 当前G1ICA证书 | 当前的G1根证书 | 新G2ICA证书(2023年3月8日后) | 新的G2根证书(2023年3月8日之后) |
DigiCert® | DigiCert TLS RSA SHA256 2020 CA1 | DigiCert Global Root CA | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | DigiCert Global Root G2 |
DigiCert | DigiCert SHA2 Extended Validation Server CA | DigiCert High Assurance EV Root CA | DigiCert EV RSA CA G2 | DigiCert Global Root G2 |
Thawte® | Thawte RSA CA 2018 | DigiCert Global Root CA | Thawte TLS RSA CA G1 | DigiCert Global Root G2 |
Thawte | Thawte EV RSA CA 2018 | DigiCert High Assurance EV Root CA | Thawte EV RSA CA G2 | DigiCert Global Root G2 |
GeoTrust® | GeoTrust RSA CA 2018 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
GeoTrust | GeoTrust EV RSA CA 2018 | DigiCert High Assurance EV Root CA | GeoTrust EV RSA CA G2 | DigiCert Global Root G2 |
GeoTrust | GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
RapidSSL® | RapidSSL Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | RapidSSL TLS RSA CA G1 | DigiCert Global Root G2 |
Encryption Everywhere | Encryption Everywhere DV TLS CA - G1 | DigiCert Global Root CA | Encryption Everywhere DV TLS CA - G2 | DigiCert Global Root G2 |
不想停止固定或硬编码?
Mozilla的根弃用计划包括链接到已弃用根的活动ICA和TLS/SSL证书。
在根证书弃用日期之后过期的TLS/SSL证书将需要从G2或更新的根层次结构重新颁发以保持可信。