自2025年9月15日起,Certum将根据Mozilla和Google的政策实施新的根CA。
如果您使用的是最新的操作系统和浏览器,您可能不会注意到这一变化。
如果您使用旧系统,请确保已安装新的根CA或交叉证书。旧的根CA即将退役,这意味着基于这些证书的证书将不再受最新浏览器和系统的信任。
此项更改是在Mozilla Firefox和Google Chrome决定取消对超过15 年(TLS/SSL 证书)和18 年(S/MIME 证书)的根CA 书的信任之后做出的。此政策的目标是提高用户安全性。
撤销信任意味着Firefox和Chrome 等浏览器将取消对颁发者(旧版 Root Cas)的信任。因此,即使这些证书在技术上仍然有效,它们也将不再受到新版浏览器的信任。因此,由Certum CA、Certum Trusted Network CA和Certum Trusted Network CA 2颁发的SSL和S/MIME 证书将不再被认可为安全证书。
详细的提款时间表可参见:
从2025年起,Certum开始逐步淘汰旧的根 CA,并逐步迁移到新的根 CA:
Certum CA – 已退休
Certum Trusted Network CA – 信任移除日期:2027-04-15
Certum Trusted Network CA 2 – 信任移除日期:2028-04-15
重要提示:基于这些根CA的证书在这些日期之前发布的旧版浏览器和操作系统中以及不再接收定期安全更新的环境中仍将受到信任。
自2025年9月15日起,Certum将推出新的根CA,根据Mozilla和Google政策,这些CA已经定义了信任终止日期:
Certum可信根 CA
SSL证书受信任,有效期至 2032年4月12日
受信任的 S/MIME 证书有效期至 2035年4 月12日
Certum EC-384 CA
SSL证书受信任,有效期至2033年3月22日
受信任的S/MIME证书有效期至2036年3月22日
重要提示: Certum Trusted Root CA 和 Certum EC-384 CA在所有主流浏览器和操作系统(Windows、macOS、iOS、Android ≥14)中都受到信任,但如果这些设备尚未收到证书存储更新,则它们可能无法在早于14版本的Android上使用,并且在较旧、不受支持和未更新的操作系统中也可能无法使用。
为了确保与不再接收定期安全更新的旧环境兼容,我们应用了一种称为与旧根CA交叉认证的机制。
如果您遇到证书问题,请确保您的应用程序和设备的受信任存储中存在适当的根CA和从属CA。
对于不再接收定期安全更新的旧环境,还要检查是否存在与旧根CA的交叉证书。
2025年9月15日(过渡到新根CA的日期)之后,在旧根CA下颁发的证书将被新根CA颁发的证书取代。
我们建议避免所谓的证书固定(即将信任硬编码到特定证书),因为这可能会阻止迁移到新的根CA。
SSL 证书:
Certum商业SSL证书 (DV)
Certum可信SSL证书 (OV)
Certum Premium EV SSL证书 (EV)
产品 | 钥匙 | 旧根 CA | 新的根CA |
---|---|---|---|
Certum 商业 SSL 证书 (DV) | RSA | Certum 可信网络 CA → Certum 域验证 CA SHA2 | Certum 可信根 CA → Certum DV TLS G2 R39 CA |
Certum 商业 SSL 证书 (DV) | ECC | Certum 可信网络 CA → Certum 域验证 CA SHA2 | Certum EC-384 CA → Certum DV TLS G2 E39 CA |
Certum 可信 SSL 证书 (OV) | RSA | Certum 可信网络 CA → Certum 组织验证 CA SHA2 | Certum 可信根 CA → Certum OV TLS G2 R39 CA |
Certum 可信 SSL 证书 (OV) | ECC | Certum 可信网络 CA → Certum 组织验证 CA SHA2 | Certum EC-384 CA → Certum OV TLS G2 E39 CA |
Certum Premium EV SSL 证书 (EV) | RSA | Certum 可信网络 CA → Certum 扩展验证 CA SHA2 | Certum 可信根 CA → Certum EV TLS G2 R39 CA |
Certum Premium EV SSL 证书 (EV) | ECC | Certum 可信网络 CA → Certum 扩展验证 CA SHA2 | Certum EC-384 CA → Certum EV TLS G2 E39 CA |
对于较旧的系统,可能需要安装交叉证书:
对于Certum受信任的根CA:https://repository.certum.pl/ctnca-ctrca.pem
对于Certum EC-384 CA:https://repository.certum.pl/ctnca-cec384ca.pem
S/MIME 证书:
Certum S/MIME邮箱
Certum S/MIME个人版
Certum S/MIME赞助商
Certum S/MIME组织
Certum S/MIME 邮箱/个人/赞助商/组织 | RSA | Certum 可信网络 CA → Certum 数字识别 CA SHA2 | Certum 受信任根 CA → Certum SMIME RSA CA |
Certum S/MIME 邮箱/个人/赞助商/组织 | ECC | – | Certum EC-384 CA → Certum SMIME ECC CA |