2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。
为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?
2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。
DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。
Mozilla不信任证书和日期
| Generation | Root certificate | *Mozilla TLS distrust date | *Mozilla S/MIME distrust date |
| G1 | Baltimore CyberTrust Root | 2025年4月15日 | N/A |
| G1 | DigiCert Assured ID Root CA | 2026年4月15日 | 2029年4月15日 |
| G1 | DigiCert Global Root CA | 2026年4月15日 | 2029年4月15日 |
| G1 | DigiCert High Assurance EV Root CA | April 15, 2026 | 2029年4月15日 |
| G2 | DigiCert Global Root G2 | 2029年4月15日 | 2032年4月15日 |
| G5 | DigiCert TLS RSA4096 Root G5 | 2036年1月15日 | N/A |
| *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书 | |||
受影响的数字证书品牌
| 品牌 | 类型 | 产品 |
| DigiCert | OV |
|
| DigiCert | EV | |
| GeoTrust | DV | |
| GeoTrust | OV |
|
| GeoTrust | EV |
|
| RapidSSL | DV |
|
| Thawte | DV |
|
| Thawte | OV |
|
| Thawte | EV |
|
| Encryption Everywhere | DV |
|
2023年3月8日,ICA根替换
| Certificate brand | G1 ICA证书-当前 | G1根证书-当前 | G2 ICA证书-新 | G2 根A证书-新 |
| DigiCert | DigiCert TLS RSA SHA256 2020 CA1 | DigiCert Global Root CA | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | DigiCert Global Root G2 |
| DigiCert | DigiCert SHA2 Extended Validation Server CA | DigiCert High Assurance EV Root CA | DigiCert EV RSA CA G2 | DigiCert Global Root G2 |
| Thawte | Thawte RSA CA 2018 | DigiCert Global Root CA | Thawte TLS RSA CA G1 | DigiCert Global Root G2 |
| Thawte | Thawte EV RSA CA 2018 | DigiCert High Assurance EV Root CA | Thawte EV RSA CA G2 | DigiCert Global Root G2 |
| GeoTrust | GeoTrust RSA CA 2018 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
| GeoTrust | GeoTrust EV RSA CA 2018 | DigiCert High Assurance EV Root CA | GeoTrust EV RSA CA G2 | DigiCert Global Root G2 |
| GeoTrust | GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
| RapidSSL | RapidSSL Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | RapidSSL TLS RSA CA G1 | DigiCert Global Root G2 |
| Encryption Everywhere | Encryption Everywhere DV TLS CA – G1 | DigiCert Global Root CA | Encryption Everywhere DV TLS CA – G2 | DigiCert Global Root G2 |
根证书和 ICA 证书的用途是什么?
根证书
根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。
CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。
ICA证书
CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。
切换根证书和 ICA 证书对我有何影响?
1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;
2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。
天威诚信提示您:
1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;
2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。
