根憑證是SSL/TLS信任鏈結的根基,用於驗證伺服器憑證的可信性。受全球根憑證信任策略變更影響,OSS正在推進根憑證升級,確保HTTPS訪問的持續安全可用。
升級背景
Mozilla於2023年初實施新的根憑證信任策略:簽發日期超過15年的伺服器身分識別驗證根憑證將不再獲得信任。受此影響,GlobalSign Root R1根憑證將於2025年4月15日起失效。詳情請參見Mozilla根憑證信任策略通知。
OSS應對策略
阿里雲OSS已採取以下措施確保服務平滑過渡。詳情請參見阿里雲Object Storage ServiceHTTPS根憑證升級公告。
措施 | 說明 |
認證更新 | 自2024年7月1日起,OSS新頒發的認證使用GlobalSign Root R3,確保與最新安全標準相容。 |
交叉認證相容 | 現有認證通過交叉認證機制實現R1到R3的平滑遷移。交叉認證有效期間至2028年1月28日,建議在2026年12月28日前完成更新準備。 |
未來規劃 | GlobalSign Root R3將於2027年4月15日起不再被Mozilla信任,最終於2029年3月18日到期。建議用戶端根憑證列表中包含R1、R3、R6和R46等多個根憑證,以應對未來認證輪替需求。 |
使用者應對方式
絕大多數使用者無需操作。 現代作業系統(Windows 7+、macOS 10.12.1+、主流Linux近5年版本)和瀏覽器會自動更新內建根憑證庫。
僅當在老舊作業系統、嵌入式裝置或未及時更新的自訂用戶端上通過HTTPS訪問OSS遇到認證錯誤時,才需按以下步驟排查。
步驟一:檢查是否存在"GlobalSign Root CA - R3"根憑證
Windows
按下Win + R,輸入
certmgr.msc並斷行符號,開啟Cert Manager。在左側導覽列展開。
尋找頒發給為GlobalSign、易記名稱為GlobalSign Root CA - R3的認證。
Linux
以Ubuntu為例,開啟終端執行以下命令,查看系統認證目錄中是否存在GlobalSign相關認證:
ls /etc/ssl/certs/ | grep GlobalSignmacOS
開啟訪達,搜尋“鑰匙串訪問”並開啟。
單擊系統根憑證,在搜尋方塊中輸入“GlobalSign”,雙擊可查看認證詳情。
步驟二:安裝缺失的根憑證
如果確認系統中缺少該根憑證,請參見在作業系統中安裝根憑證操作。