阿里云OSS应对Mozilla新政策调整HTTPS根证书签发策略
75阅读
0评论
0点赞
由于Mozilla更新了根证书的信任策略,GlobalSign将对根证书进行升级。阿里云OSS现用的HTTPS证书由“GlobalSign Root R1”签发,计划从2024年7月1日起,新增证书改用“GlobalSign Root R3”。已有证书将通过交叉证书方式确保兼容性,直至2026年底。
关于升级
- Mozilla新政策:2023年初,Mozilla更新了其根证书的信任策略,规定对于用于验证服务器身份的根证书,如果该证书的签发时间超过15年,则不再信任该根证书。
- GlobalSign响应措施:受此影响,GlobalSign宣布将于2024年2月19日开始升级根证书,并计划于2025年4月15日之后使“GlobalSign Root R1”根证书失效。
当前情况与应对策略
- 当前使用情况:目前,阿里云OSS使用的HTTPS证书是由“GlobalSign Root R1”根证书签发的。
- 升级计划:
- 自2024年7月1日起,新增的OSS证书将使用“GlobalSign Root R3”根证书签发。
- 已有证书将通过交叉证书的方式进行换根操作,确保同时兼容“GlobalSign Root R1”和“GlobalSign Root R3”两个根证书,交叉方案将持续至2026年12月28日。
长远规划
- 未来影响:“GlobalSign Root R3”根证书将在2027年4月15日后不再被Mozilla信任,并且将于2029年3月18日到期。
- 建议措施:为了应对长期影响,建议客户端在升级根证书时,同时包含GlobalSign R1、R3、R6以及R46等已知权威根证书,以确保系统的稳定性和安全性。
评论(0)
暂无评论,期待您的发言...
发表评论