以下是迁移对您的证书和系统的影响,尤其是在 SSL/ 中使用客户端身份验证的情况下。TLS 证书。
这对您意味着什么
对于大多数SSL客户而言, 此次迁移过程无缝衔接。如果您 TLS 证书用于标准的 HTTPS Web 服务器身份验证,在颁发到 2022 年根证书之后,您的证书将继续按预期工作。
如果您的系统依赖于您系统中的 ClientAuth EKU TLS 证书, 您需要做出决定,并考虑以下几个选项:
- 系统已绑定到 2016 年的根目录,但需要 Chrome 信任? 这是最复杂的情况,需要立即处理。 PKI 解决方案专家可以与您和/或您的团队合作,为您的环境规划出切实可行的前进道路。
- 请切换到我们的客户证书产品。 对于客户端身份验证,请使用专用的客户端证书。这些证书专为此用途而设计,不受 Google Chrome 服务器身份验证要求的影响。
- 如果 Chrome 的信任度不是问题,那就继续使用 2016 年的底层版本。 如果您不需要 Chrome 浏览器的信任,您目前可以继续使用 2016 年的根版本,但浏览器的信任度会随着时间的推移而降低,因此在不久的将来需要采取行动。
- 使用交叉证书以实现向后兼容。 如果您的组织需要追溯到 2016 年根证书体系并同时满足未来发展需求的信任关系,那么交叉证书可以弥合这一差距。对于系统依赖于旧根证书体系的团队来说,这是一个绝佳的选择。
为什么会发生这种情况
根系老化
根证书是数字信任的基石。浏览器和操作系统维护着一个它们认可的可信根证书列表,你颁发的每个证书都可追溯到列表中的某个根证书。然而,随着时间的推移,较旧的根证书会带来更大的风险。
多年来一直流通的根证书暴露风险日益增加,加密漏洞出现的机会也随之增多,滥用的可能性更是巨大。这正是业界不断缩短证书有效期并推动证书颁发机构更新信任层级结构的重要原因之一。浏览器也越来越倾向于使用更新、管理更完善的根证书。迁移到我们 2022 年的根证书,可确保 SSL 与行业发展方向保持一致,并保证您的证书始终受到现代浏览器的信任。
铬因素
Chrome 的 Root 计划强制要求公开 TLS 证书仅包含服务器身份验证扩展密钥用法 (EKU)。多年来,颁发此类证书一直是常见的做法。 TLS 证书中还包含 ClientAuth EKU,从而允许单个证书同时处理服务器和客户端身份验证。Chrome 已确定,这种双重用途并非公共证书的预期用途。 TLS 证书制度正在逐步取消。
由于我们 2016 年的根证书曾用于颁发可能包含客户端身份验证扩展密钥单元 (EKU) 的证书,SSL 正在将这些根证书从公共信任存储中移除,并将证书颁发过渡到 2022 年的根证书。从 2022 年根证书颁发的证书将仅包含服务器身份验证,完全符合 Chrome 的要求。
我们来帮忙
无论您是需要迁移到客户端证书产品、探索跨证书选项,还是围绕现有基础架构构建过渡计划,SSL 都能为您提供帮助。 PKI 专家随时准备帮助您找到适合您组织的解决方案。
如果您不确定此更改将如何影响您的证书部署,或者如果您需要帮助评估您的选项,请立即联系我们的团队,讨论您的具体需求或获取迁移策略方面的即时帮助。
