Sectigo关于“AAA Certificate Services”根CA证书信任位将于2025年4月15日起在Firefox、NSS和Chrome新版本中被移除的信息
Posted by he; tagged with Sectigo , SSL , 证书
网站证书的影响
如果您的证书链依赖受影响的根CA,建议:
- 检查证书链,确保不依赖“AAA Certificate Services”根CA。
- 如有影响,联系Sectigo获取基于UserTrust根CA的新证书。
- 在2025年4月15日前更新服务器证书,避免服务中断。
详细报告
Sectigo正在更新和增强其根CA证书,涉及Mozilla和Chrome对根CA证书的政策调整。从2025年4月15日起,与“AAA Certificate Services”根CA相关的TLS证书信任位将在Firefox、NSS和Chrome的后续版本中被省略。这一变化源于Mozilla和Chrome根计划的政策更新,限制根CA证书的使用期限,最长为私钥生成后的15年,以加强安全性和灵活性。
背景与政策调整
Mozilla和Chrome已实施政策,限制根CA证书的有效期为私钥生成后的15年。这一变化旨在提升网络安全,特别是在应对快速发展的计算能力时。Sectigo的“AAA Certificate Services”根CA被列入首批受影响的证书,计划于2025年4月15日移除其网站信任位。
根据Mozilla Root Store Policy,根CA证书的生命周期管理是动态的,涉及定期更新以符合最新安全标准。Sectigo的官方页面Enhancements to Root CA and Hierarchies详细说明了这一政策调整,确认了“AAA Certificate Services”根CA的受影响状态。
影响分析
- 直接影响:由“AAA Certificate Services”根CA直接签发的下属CA颁发的证书将在2025年4月15日之后的新版本Firefox、NSS和Chrome中不再被信任。这可能导致网站访问者看到“证书不受信任”的警告。
- 不受影响的情况:如果您依赖旧版平台(如2025年4月15日前发布的Firefox和Chrome版本),或使用由“AAA Certificate Services”根CA交叉签名的证书链以支持旧版平台,则此变更不会产生影响。
- 时间表:根据Mozilla Wiki: CA/Root CA Lifecycles,2025年4月15日将移除八个根CA的网站信任位,包括“AAA Certificate Services”,其SHA-256哈希为D7A7A0FB5D7E2731D771E9484EBCDEF71D5F0C3E0A2948782BC83EE0EA699EF4。
以下是受影响的CA列表:
| CA Name | SHA 256 Hash |
|---|---|
| Baltimore CyberTrust Root (expires 5/12/2025) | 16AF57A9F676B0AB126095AA5EBADEF22AB31119D644AC95CD4B93DBF3F26AEB |
| Entrust.net Certification Authority (2048) | 6DC47172E01CBCB0BF62580D895FE2B8AC9AD4F873801E0C10B9C837D21EB177 |
| AAA Certificate Services | D7A7A0FB5D7E2731D771E9484EBCDEF71D5F0C3E0A2948782BC83EE0EA699EF4 |
| Go Daddy Class 2 CA | C3846BF24B9E93CA64274C0EC67C1ECC5E024FFCACD2D74019350E81FE546AE4 |
| Starfield Class 2 CA | 1465FA205397B876FAA6F0A9958E5590E40FCC7FAA4FB7C2C8677521FB5FB658 |
| XRamp Global Certification Authority | CECDDC905099D8DADFC5B1D209B737CBE2C18CFB2C10C0FF0BCF0D3286FC1AA2 |
| Chunghwa Telecom Co., Ltd. - ePKI Root Certification Authority | C0A6F4DC63A24BFDCF54EF2A6A082A0A72DE35803E2FF5FF527AE5D87206DFD5 |
| GlobalSign Root CA | EBD41040E4BB3EC742C9E381D31EF2A41A48B6685C96E7CEF3C1DF6CD4331C99 |
解决方法
对于使用受影响根CA的网站所有者,Sectigo提供了具体指导,包括:
- 检查证书链:使用工具如openssl(命令示例:openssl s_client -connect yourwebsite.com:443 -showcerts)或在线SSL检查工具(如SSL Labs SSL Test)确认证书链是否依赖“AAA Certificate Services”根CA。
- 获取新证书:联系Sectigo,请求基于其他受信任根CA(如UserTrust根CA)的新证书。Sectigo建议为一般用途的SubCA切换到UserTrust根CA。
- 更新服务器:在2025年4月15日前安装新证书,确保在新浏览器版本中继续受信任。
- 避免证书固定:避免对依赖“AAA Certificate Services”根CA的TLS证书使用证书或密钥固定,以防止兼容性问题。
- 保持信息更新:通过Sectigo的沟通渠道(如Notifications)获取最新更新。
对于CA操作者,Mozilla建议至少在不信任日期前两年申请下一代根证书的包含,以确保平稳过渡。
额外考虑
- 交叉签名:如果证书链通过“AAA Certificate Services”根CA交叉签名,且依赖其他仍受信任的根CA,旧版平台可能仍能正常工作,但长期建议迁移到新根CA。
- 浏览器更新:关注Firefox和Chrome的更新日志,特别是在2025年4月15日之后,确保及时调整。
- 长期策略:定期审查证书策略,确保依赖的根CA符合最新浏览器政策,优先使用较新的根CA以避免未来类似问题。
当前时间点(2025年4月3日)
截至今天,您的网站证书应仍有效,因为政策调整尚未生效(还有12天)。但如果依赖受影响的根CA,建议尽快采取行动,以确保2025年4月15日后网站的安全性和可用性。