阿里云OSS应对Mozilla新政策调整HTTPS根证书签发策略

120阅读

0评论

0点赞

由于Mozilla更新了根证书的信任策略，GlobalSign将对根证书进行升级。阿里云OSS现用的HTTPS证书由“GlobalSign Root R1”签发，计划从2024年7月1日起，新增证书改用“GlobalSign Root R3”。已有证书将通过交叉证书方式确保兼容性，直至2026年底。

关于升级

Mozilla新政策：2023年初，Mozilla更新了其根证书的信任策略，规定对于用于验证服务器身份的根证书，如果该证书的签发时间超过15年，则不再信任该根证书。
GlobalSign响应措施：受此影响，GlobalSign宣布将于2024年2月19日开始升级根证书，并计划于2025年4月15日之后使“GlobalSign Root R1”根证书失效。

当前情况与应对策略

当前使用情况：目前，阿里云OSS使用的HTTPS证书是由“GlobalSign Root R1”根证书签发的。
升级计划：
- 自2024年7月1日起，新增的OSS证书将使用“GlobalSign Root R3”根证书签发。
- 已有证书将通过交叉证书的方式进行换根操作，确保同时兼容“GlobalSign Root R1”和“GlobalSign Root R3”两个根证书，交叉方案将持续至2026年12月28日。

长远规划

未来影响：“GlobalSign Root R3”根证书将在2027年4月15日后不再被Mozilla信任，并且将于2029年3月18日到期。
建议措施：为了应对长期影响，建议客户端在升级根证书时，同时包含GlobalSign R1、R3、R6以及R46等已知权威根证书，以确保系统的稳定性和安全性。

查看详情：【升级】阿里云对象存储 HTTPS 根证书升级公告