[服务公告更新]DigiCert将于2023年3月迁移到第二代(G2)根和ICA层次结构

发布时间:2022/11/17 13:51:44 打印 字号:

2023年3月8日,DigiCert将开始将所有TLS/SSL证书品牌的默认公开颁发更新为第二代(G2)根层次结构。

注意:这与我们在9月份发送的上一封电子邮件有所不同,该电子邮件表示我们会将默认的TLS/SSL颁发移至第五代(G5)根层次结构。

为什么我们现在将TLS/SSL颁发移至G2根而不是G5根?

根据Mozilla最新提议的政策变更,我们推迟了向G5 root和ICA层次结构的迁移,并提供更多时间来确保G5 root普遍存在。

2025年,Mozilla将开始在其Firefox浏览器中弃用旧的根证书,包括一些DigiCert根证书。2023年3月8日,DigiCert将停止从这些旧层次结构颁发TLS/SSL证书,并开始从我们的G2层次结构颁发它们,以确保您的证书在Firefox中保持可信。

Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:

Mozilla的弃用计划适用于所有公共根证书。下图显示了该计划如何适用于DigiCert专门拥有的根证书:

Root Generation

DigiCert 根证书

*Mozilla TLS 弃用日期

*Mozilla S/MIME弃用日期

G1

Baltimore CyberTrust Root

2025415

巴尔的摩CyberTrust根证书将于2025512日到期。

N/A

BaltimoreCyberTrustRoot证书将于2025512日到期。

G1

DigiCert Assured ID Root CA

2026415

2029415

G1

DigiCert Global Root CA

2026415

2029415

G1

DigiCert High Assurance EV Root CA

2026415

2029415

G2

DigiCert Global Root G2

2029415

2032415

G5

DigiCert TLS RSA4096 Root G5

2026115

N/A

G5层次结构不颁发S/MIME证书。

 

*在上述日期,Mozilla也将停止信任从已弃用的根颁发的活动终端实体证书;首先是TLS/SSL证书,然后是S/MIME证书。

 

我需要做什么?

除非您执行以下任一操作,否则无需执行任何操作:

  • Pinroot或ICA证书

  • 硬编码接受根证书或ICA证书

  • 经营信托店

如果您执行以上任一操作,我们建议:

  • 在2023年3月8日之前更新您的环境

  • 停止固定或硬编码证书接受。

  • 将DigiCertG2根分发到本地信任库,以确保链接到G2根证书的TLS/SSL证书是可信的。

使用此图表来识别每个TLS/SSL证书品牌的当前和新的ICA和根证书:

TLS/SSL证书品牌

当前G1ICA证书

当前的G1根证书

G2ICA证书(202338日后)

新的G2根证书(202338日之后)

DigiCert®

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert

DigiCert SHA2 Extended Validation Server CA

DigiCert High Assurance EV Root CA

DigiCert EV RSA CA G2

DigiCert Global Root G2

Thawte®

Thawte RSA CA 2018

DigiCert Global Root CA

Thawte TLS RSA CA G1

DigiCert Global Root G2

Thawte

Thawte EV RSA CA 2018

DigiCert High Assurance EV Root CA

Thawte EV RSA CA G2

DigiCert Global Root G2

GeoTrust®

GeoTrust RSA CA 2018

DigiCert Global Root CA

GeoTrust TLS RSA CA G1

DigiCert Global Root G2

GeoTrust

GeoTrust EV RSA CA 2018

DigiCert High Assurance EV Root CA

GeoTrust EV RSA CA G2

DigiCert Global Root G2

GeoTrust

GeoTrust Global TLS RSA4096 SHA256 2022 CA1

DigiCert Global Root CA

GeoTrust TLS RSA CA G1

DigiCert Global Root G2

RapidSSL®

RapidSSL Global TLS RSA4096 SHA256 2022 CA1

DigiCert Global Root CA

RapidSSL TLS RSA CA G1

DigiCert Global Root G2

Encryption Everywhere

Encryption Everywhere DV TLS CA - G1

DigiCert Global Root CA

Encryption Everywhere DV TLS CA - G2

DigiCert Global Root G2


不想停止固定或硬编码?


我们不建议固定,因为这种做法被认为是良好安全维护的障碍。如果您想继续固定或硬编码,我们建议直接转向DigiCert的新第五代 (G5) 根和ICA证书层次结构,用于公共TLS/SSL颁发。这将需要安装交叉签名的根目录,但您只需准备一次环境

要了解有关 G5 根的更多信息以及为什么它们是长期公共 TLS/SSL 颁发的最佳选择,请参阅我们的知识库文章DigiCert G5 根和中间 CA 证书更新

如果我需要更多时间怎么办?

如果您需要更多时间为G2更新准备您的环境,在我们将G2根层次结构设为2023年3月8日公共TLS/SSL证书颁发的默认设置后,您可以继续从当前根证书和ICA证书颁发。联系DigiCert支持他们可以设置您的帐户以继续从您当前的根证书和ICA证书颁发。

在决定在当前根上保留多长时间时,请确保您了解并接受在 2023年3月8日之后保留在较旧根层次结构上的风险:.000

  • Mozilla的根弃用计划包括链接到已弃用根的活动ICA和TLS/SSL证书。

  • 在根证书弃用日期之后过期的TLS/SSL证书将需要从G2或更新的根层次结构重新颁发以保持可信。


更多资源

将我们的知识库文章DigiCert 根和中间 CA 证书更新 2023添加为书签,以获取有关迁移到G2根的最新信息。

访问DigiCert Trusted Root Authority Certificates页面以下载DigiCert ICA和根证书的副本。

有关证书链及其工作原理的更多信息,请参阅证书链的工作原理

如果您有其他问题或疑虑,请联系DigiCert 支持


谢谢您,
DigiCert 团队