使用Sectigo的SSL证书的,如果证书链包含根证书的需注意了
本帖最后由 zhangli999 于 2025-6-15 07:30 编辑使用Sectigo的SSL证书的,如果证书链包含根证书的需注意:
由于Mozilla更新了其根证书信任策略,即对于全球所有CA的可信根证书生成后最少15年更换一次,超过时间的可信根将会逐步被Mozilla停止信任,因此Sectigo的部分老根证书将会在2025年04月逐步升级为新的根证书。
EV 证书于2025 年 4 月 15 日,OV证书于2025 年 5 月 15 日,DV证书于2025 年 6 月 2 日开始使用新的根证书签发SSL,在此之前签发的证书,均可正常使用,无任何影响。新根体系仍然兼容当前主流操作系统和移动端设备,与老根一致。
6月2日起,很多浏览器和设备不再支持Sectigo RSA Domain Validation Secure Server CA旧的根证书。
之前好多签发的证书都包含根证书的,包括腾讯云签发的证书。而实际情况是:
根证书已内置在客户端(如浏览器、操作系统)的信任存储中,无需额外下发。如果强制包含根证书,反而可能导致配置错误(如重复拼接)。
如果你的证书链中包含旧的根证书,在某些web服务器配置环境的情况下,会造成你的服务器带宽异常!!!
如果你的证书链中包含下面的根证书内容请移除:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
yc022t 自从免费的1年证书没了,现在都用自动申请的3个月证书了。 盖茨 发表于 2025-6-15 13:45
自从免费的1年证书没了,现在都用自动申请的3个月证书了。
就是有点烦 https://file.uhsea.com/2506/c176490e76781f776a8d5685f6136902MD.jpg
这个才2018年,反而是根证书USERTrust RSA Certification Authority 是2010年的,现在暂时没发现有问题
我们现在都是新的根签发了
Sectigo Public Server Authentication CA DV R36
页:
[1]