一、背景

全球知名瀏覽器與根CA信任維護組織Mozilla更新了其根證書信任策略，要求全球所有CA機構(gòu)的可信根證書在加入其信任庫后，必須定期更新根證書密鑰以保障根CA的密鑰安全。超過時效的根CA證書將會逐步被Mozilla停止信任。

此次Mozilla策略更新對全行業(yè)CA機構(gòu)均產(chǎn)生影響。有關(guān)國際、國內(nèi)知名CA證書頒發(fā)機構(gòu)根CA基本信息、Mozilla移除時間及兼容性數(shù)據(jù)，請參閱：https://kdocs.cn/l/ciGv8D2N9wpN

受影響的GlobalSign根證書列表如下：

*如需了解更多詳情，請咨詢天威誠信技術(shù)工程師。

二、GlobalSign根證書更新計劃

GlobalSign計劃于2026年7月27實施根CA升級，屆時，所有GlobalSign SSL證書的簽發(fā)將從當(dāng)前的GlobalSign Root CA R3（簡稱R3根）遷移至GlobalSign Root R46（RSA算法，簡稱R46根）或GlobalSign Root E46（ECC算法，簡稱E46根）。

為確保用戶證書應(yīng)用的兼容性，R1、R3根CA的信任移除不會影響舊版本作系統(tǒng)、運行環(huán)境及App應(yīng)用。舊版R3根CA的移除僅在新版本中實施，舊版本在保留舊的根信任策略，同時可通過交叉認證模式繼續(xù)支持R3或R1舊根CA，確保用戶SSL證書的信任不受影響。用戶更新操作系統(tǒng)、運行環(huán)境或App應(yīng)用至新版本后，則可啟用安全性更高的R46、E46新根CA證書。

我們將同步為您提供R1-R3、R1-R46、R1-E46、R3-R46、R3-E46等多種交叉認證鏈組合，支持靈活部署，保障用戶在根CA升級后通過交叉認證實現(xiàn)平滑過渡。

官方原文詳見：https://www.globalsign.cn/company/news-events_detailed/395

三、用戶使用影響

GlobalSign計劃于2026年7月27日起將所有用戶SSL證書遷移至新根CA證書簽發(fā)。具體影響如下：

1，所有在2026年7月27日前使用R3根簽發(fā)的證書均可繼續(xù)正常使用；

2，對于使用R46、E46根CA簽發(fā)的SSL證書，我們將默認提供R3根交叉證書鏈，用戶可自行評估R1與R3根證書在各客戶端環(huán)境下的兼容性差異，并根據(jù)業(yè)務(wù)需求決定是否更換為R1根交叉證書文件；

3，預(yù)計2025年第四季度起，用戶可按需申請由R46、E46新根CA簽發(fā)的SSL證書，測試根CA升級對證書應(yīng)用的影響；

四、交叉認證

交叉CA相關(guān)實現(xiàn)原理參考：

應(yīng)用交叉CA后，證書在客戶端上的有效性驗證在絕大多數(shù)場景下可自動適配。少數(shù)應(yīng)用可能強制使用4級證書鏈，啟用交叉CA和舊CA根證書驗證。

2026年7月27日后，GlobalSign所有證書產(chǎn)品均使用新的R46或E46根證書簽發(fā)，并配置R3交叉認證證書鏈。低版本客戶端操作系統(tǒng)和運行環(huán)境可通過4級證書鏈，借助舊Global Root CA R3根證書保持兼容；新版本客戶端則可啟用R46或E46根證書完成驗證。

2027年4月15日后，R3根交叉認證模式仍然可用。歷史經(jīng)驗表明，配置交叉認證通常不會影響客戶端在新舊根證書間的自動適配。但交叉認證模式的4級證書鏈仍存在不確定性，無法斷定在限定日期之后所有使用Mozilla新版本信任庫的客戶端都能自動適配。

五、CA根證書兼容性機制

1. Mozilla根信任庫機制

Mozilla維護的根CA信任庫，不僅應(yīng)用于Firefox瀏覽器，也被各類跨平臺網(wǎng)絡(luò)應(yīng)用軟件廣泛采用。Android、MacOS、Windows系統(tǒng)并未強制要求App必須使用系統(tǒng)內(nèi)建CA根信任機制。支持SSL/TLS協(xié)議的Linux多數(shù)軟件，以及部分使用跨平臺開發(fā)技術(shù)的Android、MacOS、Linux、Windows應(yīng)用，大多通過集成Mozilla根CA信任庫文件實現(xiàn)對CA機構(gòu)的根信任。

這些App使用的Mozilla根CA信任庫版本由軟件開發(fā)商自主選擇。成熟App普遍采用較舊版本的信任庫文件且更新頻率較低。因此，Mozilla根信任策略調(diào)整對這類客戶端的影響將存在顯著滯后性，并可能最先出現(xiàn)在集成最新版信任庫的新開發(fā)App中。

2. 操作系統(tǒng)根證書兼容機制

Windows、Mac OS、iOS、Chrome OS、 Android系統(tǒng)均內(nèi)置默認信任庫。操作系統(tǒng)廠商會選擇性納入通過WebTrust認證、信譽良好、無重大運營事故、服務(wù)響應(yīng)能力強且系統(tǒng)架構(gòu)完善的CA機構(gòu)根證書。

Windows系統(tǒng)支持基于Microsoft服務(wù)端的Root Update服務(wù)。舊版Windows可通過該技術(shù)聯(lián)網(wǎng)下載并信任系統(tǒng)中尚未預(yù)置的新認證根證書。當(dāng)舊版Windows客戶端首次訪問配置了此類新根證書的網(wǎng)站時，該服務(wù)會自動激活。

由于Root Update服務(wù)依賴客戶端操作系統(tǒng)連接Microsoft服務(wù)器的網(wǎng)絡(luò)狀況，若客戶端處于受限網(wǎng)絡(luò)或連接超時，根證書更新可能失敗，導(dǎo)致網(wǎng)站證書暫時不被信任。

Mac OS、Chrome OS、Android、iOS、HarmonyOS、Web OS則選擇隨系統(tǒng)版本發(fā)布預(yù)設(shè)的默認信任庫。若需在舊版本系統(tǒng)中支持未預(yù)置信任的新CA根證書，用戶需通過系統(tǒng)自帶的根信任管理工具手動安裝并信任。

3. 運行環(huán)境根證書兼容性

基于Java的服務(wù)端或客戶端程序，依賴Java運行環(huán)境（JRE）中的cacerts文件存儲默認受信根證書。具體信任范圍可參考對應(yīng)JRE版本的默認設(shè)置。對于低版本Java環(huán)境，用戶可通過Keytool工具向cacerts文件導(dǎo)入新CA根證書。

4. 自定義信任庫機制

部分自主開發(fā)的應(yīng)用支持自定義信任庫文件，允許開發(fā)者自主設(shè)定應(yīng)用程序信任的CA根證書范圍。當(dāng)前在IoT領(lǐng)域，大量智能終端正采用這種方式管理自定義信任庫。為優(yōu)化存儲空間并簡化SSL認證管理流程，許多智能終端應(yīng)用會選擇性預(yù)置特定CA根證書。建議開發(fā)者在自定義信任庫中至少集成3個以上主流CA機構(gòu)的根證書，且每個機構(gòu)務(wù)必配置多張不同參數(shù)規(guī)格的根CA證書。此舉可避免因CA機構(gòu)運營策略調(diào)整，導(dǎo)致在用證書無法回退或應(yīng)用交叉認證模式兼容舊根證書時，缺失必要的技術(shù)維護支持。