V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
salmon5
V2EX  ›  Mozilla

Mozilla 规定根证书只能 15 年有效期

  •  
  •   salmon5 · 310 天前 · 1745 次点击
    这是一个创建于 310 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://wiki.mozilla.org/CA/Root_CA_Lifecycles
    https://knowledge.digicert.com/general-information/digicert-root-and-intermediate-ca-certificate-updates-2023

    这样:
    DigiCert Global Root CA 的有效期只能到 April 15, 2026 (证书有效期 10/Nov/2031 ),至少提前了 5.5 年;
    DigiCert Global Root G2 的有效期只能到 April 15. 2029 (证书有效期 15/Jan/2038 ),至少提前了 8.5 年 ;
    等等,这对以后的互联网造成巨大负面影响。

    Mozilla 公司何德何能敢做出这种规定?为什么其他公司遵守了它这个规定?
    第 1 条附言  ·  310 天前
    这 2 位就是受到影响的(以后会越来越多,大面积的,主要是 api 服务):
    https://juejin.cn/post/7263035818046488631
    https://blog.csdn.net/weixin_43972546/article/details/134311098

    Mozilla 这个行为,比以前缩短证书有效期 3 年-->2 年--->1 年影响都大,缩短证书有效期毕竟只是更换服务端证书。
    第 2 条附言  ·  309 天前
    鉴于目前 HTTPS 证书的最长有效期是 397 天,Mozilla 禁用 DigiCert Global Root CA 的时间是 2026/04/15 ,所以理论上厂商的 DigiCert Global Root CA 最后签署时间是 2025/03/14 。
    第 3 条附言  ·  273 天前
    鉴于目前 HTTPS 证书的最长有效期是 397 天,Mozilla 禁用 DigiCert Global Root CA 的时间是 2026/04/15 ,所以理论上厂商的 DigiCert Global Root CA 最后签署时间是 2025/03/14 。
    如果签署 365 天的证书,理论上厂商的 DigiCert Global Root CA 最后可以签署时间是 2025/04/14 。
    也就是 2025/04/14 之前能申请到 DigiCert Global Root CA 的根证书。
    第 4 条附言  ·  251 天前
    https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
    阿里云的公告,最早到 2024 年 12 月 01 日,可以通过 DigiCert Global Root CA 根证书 签发新证书。
    第 5 条附言  ·  142 天前
    20240806 update:
    https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
    阿里云公告,G1 交叉签名了 G2 ,是个好消息。
    已经有不少网站的公钥启用了 G1 交叉签名 G2 的证书。
    17 条回复    2024-08-06 17:46:11 +08:00
    whileFalse
        1
    whileFalse  
       310 天前 via Android
    你写个浏览器也能规定。
    至于别人理不理你 就看你浏览器市占率了。
    salmon5
        2
    salmon5  
    OP
       310 天前
    @whileFalse 虽然我也主力用 Firefox ,感觉 Mozilla 小破公司这个决定,会有很大的负面影响(对它自己也是)。
    whileFalse
        3
    whileFalse  
       310 天前 via Android
    我也用 firefox ,但 firefox 真是越来越拉呀。
    whileFalse
        4
    whileFalse  
       310 天前 via Android   ❤️ 1
    我说的拉是指性能和特性方面的。
    关于限制证书有效期,chrome 做得比 firefox 多多了
    garywill
        5
    garywill  
       310 天前
    在 2026 年前重新签一个新的?
    salmon5
        6
    salmon5  
    OP
       310 天前
    @garywill https://www.digicert.com/kb/digicert-root-certificates.htm
    已 DigiCert 为例,签了很多:
    DigiCert Global Root G2
    DigiCert Global Root G3
    DigiCert TLS RSA4096 Root G5
    DigiCert TLS ECC P384 Root G5
    等等。
    困难点不在于重新购买证书。
    而是:做为使用 https 的公司,要推动升级 client 的根证书。
    salmon5
        7
    salmon5  
    OP
       310 天前
    这 2 位就是受到影响的(以后会越来越多,大面积的):
    https://juejin.cn/post/7263035818046488631
    https://blog.csdn.net/weixin_43972546/article/details/134311098
    M2K4
        8
    M2K4  
       310 天前 via Android
    十五年操作系统都能换几代了
    tool2d
        9
    tool2d  
       310 天前
    android 老版本是内置 ROOT 证书的,那才叫惨,过期一大片。
    leonshaw
        10
    leonshaw  
       310 天前
    @salmon5 可以用老的根交叉签一下新的?我记得 Let's Encrypt 原来就这样搞的。
    whileFalse
        11
    whileFalse  
       310 天前 via Android
    @tool2d 中间证书可以用多个根证书签名,只要有一个用于签名的根证书被系统信任,中间证书就可以被信任
    tool2d
        12
    tool2d  
       310 天前
    @whileFalse 那要看签发商,愿不愿意用别的根证书交叉签名了。

    这种情况比较少,更常见的是新的根证书,放到官方主页让你手动下载更新,就和 apple 一样。
    xiaooloong
        13
    xiaooloong  
       310 天前   ❤️ 3
    PKI:Public key infrastructure
    用户终端制造商是 pki 的一环,反正控制着一部分用户的终端,所以自己想干啥就干啥呗,前提是用户不愿意放弃这个终端。

    目前控制用户侧跟证书分发的

    消费领域
    微软控制 windows
    谷歌控制 android
    苹果控制 iOS macOS
    mozilla 控制 firefox 浏览器

    生产领域
    各大 linux 发行版自己维护自己的 ca-certificats
    oracle 控制 oracle jre
    curl 有自己维护的,但在各 linux 发行版中都会被替换为发行版自己的

    mozilla 如果是自己要求的,那也只影响使用 firefox 浏览器的用户,对于调用方是 java 的 http api 来说,确实没必要更换新根签发的证书,毕竟不是浏览器去调用的前端 api 。
    或者、大不了手动更新一下 oracle jre 内的证书列表也不是不行,比如当年 oracle jre 7 不就因为跟不上时代,市面上新证书的根没在列表内,导致一大批 java 7 服务出现问题需要手动往 jre 7 里导新根么。

    但如果是 pki 业界公认的根证书时间问题,需要限制到 15 年内,那肯定之后不止 mozilla 会行动。比如当年沃通证书,mozilla ban 完 apple ban ,ban 的机构足够多,沃通这 CA 的生存空间也越来越小,最后只能秽土转生 wotrust 重开新号了。
    salmon5
        14
    salmon5  
    OP
       310 天前   ❤️ 1
    @xiaooloong #13 Mozilla 乱搞,DigiCert 和 GlobalSign 直接就跪了,这几乎影响了所有 SSL 证书厂商。
    所有使用 SSL 证书的公司,都会被这个影响(个体解决倒是也简单,如果是面对几百几千几万的 API 客户,那量级就不一样了)。
    salmon5
        15
    salmon5  
    OP
       310 天前
    统计了下,JDK6-7,8<8u91 默认都没内置 DigiCert Global Root G2 ,
    RHEL/CentOS<6.7 、<7.2 默认都没内置 DigiCert Global Root G2 ,
    Ubuntu Server<14.04.3 默认都没内置 DigiCert Global Root G2
    salmon5
        16
    salmon5  
    OP
       142 天前
    Debian 7.x 默认都没内置 DigiCert Global Root G2
    salmon5
        17
    salmon5  
    OP
       142 天前
    https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
    阿里云公告,G1 交叉签名了 G2 ,是个好消息。
    已经有不少网站的公钥配置了 G1 交叉签名 G2 的证书。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1108 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 18:57 · PVG 02:57 · LAX 10:57 · JFK 13:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.