You need to enable JavaScript to run this app.
导航
【通知】DigiCert 根证书升级
最近更新时间:2024.08.07 17:13:32首次发布时间:2023.02.09 14:56:28

尊敬的火山引擎用户,您好:

DigiCert CA 于 2023年3月8日 开始其在全球的根升级作业,将所有 TLS/SSL 证书品牌的默认公开颁发体系更新为第二代 (G2) 根层次结构。
如果您通过证书中心购买了 DigiCert 相关品牌的 SSL 证书,或有意购买相关证书,建议您关注本通知。

对我有何影响

如果您只是将从证书中心下载的证书安装在 Web 服务器进行使用,CA 根升级对您没有任何影响。
如果您执行了以下操作,则 CA 根升级会对您产生影响:

  • 对根证书或中级证书进行锁定。
  • 对根证书或中级证书的接受进行硬编码。
  • 操作信任存储区。

如果您执行上述任一操作,我们建议您在 2023年3月8日 前更新您的环境:

  • 停止对证书接受进行锁定或硬编码。
  • 将 DigiCert G2 根分发至本地信任存储区,以确保链接到 G2 根证书的 TLS/SSL 证书受到信任。

DigiCert 根升级详情

背景
全球知名信任库 Mozilla 对于 CA 根证书的信任策略包含:全球所有 CA 的可信根证书生成后最少 15 年更换一次。过期的根证书将会逐步被 Mozilla 停止信任。
从 2025 年开始,Mozilla 将停止信任 DigiCert 下的一些老的根证书。因此,DigiCert 计划提前将这些根证书升级到新的 G2 根体系,以避免 DigiCert 证书的使用受到影响。

受影响的根证书

名称Mozilla 不再信任该证书的时间影响范围
Baltimore CyberTrust Root2025年4月15日
(该证书将于 2025年5月15日 过期)
交叉中级证书(用于扩展根证书的兼容性)
DigiCert Global Root CA2026年4月15日DigiCert 及 DigiCert Pro 品牌的 DV 和 OV 级 SSL 证书
DigiCert High Assurance EV Root CA2026年4月15日DigiCert 及 DigiCert Pro 品牌的 EV 级 SSL 证书

对证书使用者的影响

2023年3月8日 起,您通过证书中心申请的 DigiCert 证书,将开始统一使用 DigiCert 全球 G2 根体系和中级证书进行签发。
新的根体系依然可以兼容目前主流的操作系统和移动端设备。

注意

如果您在此变更前将老的根证书预置在客户端,则变更生效后新签发的证书会与客户端不兼容。这种情况下,您必须更新在客户端预置的根证书。我们不建议您将证书或者中级证书、根证书预置在客户端、App、硬件设备等终端,否则可能存在不可预期的安全风险。

其他说明
更新后的根证书 DigiCert Global Root G2 采用了 SHA256 签名算法。SHA256 签名算法的安全性比老根证书使用的 SHA1 算法强。DigiCert Global Root G2 根证书早已完成在主流操作系统和移动端、JDK 等环境的信任预置。新根体系仍然兼容当前主流操作系统和移动端设备。

DigiCert 官方通知原文(建议您收藏,以获取生效时间的变化)

DigiCert root and intermediate CA certificate updates 2023
https://knowledge.digicert.com/generalinformation/digicert-root-and-intermediate-ca-certificate-updates-2023.html