背景資訊
2023年初,Mozilla發布了新的根憑證信任策略:對於用於驗證伺服器身份的根憑證,若該根憑證簽發時間超過15年,則Mozilla不再信任該根憑證。受此影響,Mozilla Firefox、Google Chrome等主流瀏覽器不再信任簽發時間超過15年的根憑證。同時Google Chrome不再信任具有多EKU(Extended Key Usage)的根憑證。基於以上兩點原因,使用舊版GlobalSign根憑證(R1/R3/R5/R6)的網站在Mozilla Firefox、Google Chrome等主流瀏覽器屆時將會出現安全警告或無法正常訪問的情況,直接影響使用者體驗和商務持續性。
當前阿里雲網盤與相簿服務(PDS)使用的HTTPS認證由"GlobalSign Root R3"根憑證簽發,自2026年06月30日起,PDS新增、新簽認證將會逐步使用新根"GlobalSign Root R46"來簽發。
為了增強認證的相容性,此次更新的認證會在2027年1月28日之前內保持對“GlobalSign Root R1”的相容,但是R1 根會在 2028 年 1 月 28 日 到期,對於一些還不支援R46 根的用戶端,請務必在2027年1月28日之前升級本地根憑證列表。
注意,這是一個權威CA認證全行業的升級行為,而非僅僅針對阿里集團!
哪些環境可能會受到影響
大多數現代作業系統和瀏覽器將繼續自動信任 GlobalSign 的根憑證。但是,對於一些較老的用戶端或採用了Certificate Pinning的環境——如果它們明確僅信任GlobalSign Root R3(或特定的中間認證),且其“信任庫(Trust Store)”中尚未包含 Root R46——那麼一旦伺服器開始下發新根簽發的認證,這些環境可能會遇到 SSL 憑證驗證失敗的問題。
應對建議
更新信任庫: 如果您負責管理的可能會訪問阿里雲網盤與相簿服務(PDS)網域名稱的用戶端、硬體裝置或後端服務,請確保它們的信任庫(Trust Stores)中已包含 GlobalSign Root R46 認證。
停止使用認證鎖定(Certificate Pinning): 我們建議您停止以任何形式使用認證鎖定,因為它極易在必要的根憑證輪轉和遷移期間導致驗證失敗。如果您的環境絕對需要鎖定到根 CA 或下級(中間)CA,您必須更新您的鎖定配置(pin sets),使其能夠接受新的 GlobalSign Root R46 CA 以及後續公布的任何新下級 CA,以避免在新認證生效時造成服務中斷。
R46 根憑證驗證
如果出現SSL建鏈失敗,則需參考在作業系統中安裝根憑證完成用戶端根憑證預置。在業務用戶端中訪問測試環境,能夠正常返回結果表示 R46 根憑證驗證成功。如果出現 SSL 建鏈失敗,則需參考"在作業系統中安裝根憑證"完成用戶端根憑證預置。
GlobalSign 根憑證列表:https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates
檢查新根憑證GlobalSign Root CA - R46(認證subject)是否在自己的可信根憑證庫中。如果有,則不受影響;如果沒有,則需將新根憑證添加到可信根憑證庫中。
強烈建議:最好將目前已知的權威根憑證,都內建到用戶端可信根憑證庫,具體根憑證如下:
相關資訊
Mozilla更新根憑證信任策略的通知
2023年初,Mozilla發布了新的根憑證信任策略:對於用於驗證伺服器身份的根憑證,若該根憑證簽發時間超過15年,則mozilla不再信任該根憑證。https://wiki.mozilla.org/CA/Root_CA_Lifecycles
Google通知:https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-5/
GlobalSign根憑證升級通知
受Mozilla的根憑證信任策略的調整,GlobalSign的部分根憑證在其到期前就已經不再被Mozilla信任,需提前停止使用。2025年12月,GlobalSign發布升級根憑證的通知:https://support.globalsign.com/ssl/upcoming-changes-tls-roots-and-certificate-profiles
Chrome EKU限制
認證中extensions資訊用於描述認證使用限制,其中EKU(Extended Key Usage)用於描述認證的用途,如serverAuth、clientAuth、codeSigning、emailProtection、macAddress等。
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
Authority Information Access:
OCSP - URI:http://ocsp2.globalsign.com/rootr6
CA Issuers - URI:http://secure.globalsign.com/cacert/root-r6.crt
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.globalsign.com/root-r6.crl2026年6月15日起,Chrome將對根憑證庫中的所有CA進行限制,不再支援未指定或包含其他PKI用途的CA(如TLS用戶端認證、安全郵件、數位簽章等)。
Google通知:https://googlechrome.github.io/chromerootprogram/ (1.3.2章節)