Log ServiceHTTPS根憑證升級通知 - Simple Log Service

本文介紹Log ServiceHTTPS根憑證升級的背景以及應對措施。

Mozilla更新根憑證信任策略通知

為確保網路安全環境的持續可靠性，Mozilla於2023年初實施了新的根憑證信任策略。根據此策略，所有用於伺服器身分識別驗證、且有效期間超過15年的根憑證，將不再獲得Mozilla的信任。更多資訊，請參見Mozilla更新根憑證信任策略的通知。

Mozilla根憑證信任策略的更新直接影響到GlobalSign Root R1根憑證的有效性，在GlobalSign發布根憑證的升級通知中明確GlobalSign Root R1根憑證將於2025年4月15日起失效。更多資訊，請參見GlobalSign根憑證升級通知。

鑒於上述變動，阿里雲Log Service特此通知以下應對策略：

Log Service認證更新計劃
目前，Log Service採用的HTTPS認證由GlobalSign Root R1簽發，儘管該根憑證官方有效期間未到，但基於Mozilla的新政策，Log Service新頒發的認證已開始使用GlobalSign Root R3。此舉旨在提前應對潛在的信任問題，確保服務的連續性和安全性。
交叉認證相容方案
為保障過渡期間的廣泛相容性，Log Service現有的認證將通過交叉認證機制實現從GlobalSign Root R1到GlobalSign Root R3的平滑遷移。但是由於GlobalSign Root R1的交叉認證需要在到期前13個月提交申請，因此請務必在2026年1月1日前完成所有相關根憑證的更新準備工作。
未來規劃與建議
考慮到長遠發展，GlobalSign Root R3雖為當前解決方案，但其也將於2027年4月15日起不再被Mozilla信任,因此，強烈建議用戶端及時升級根憑證，並確保根憑證列表包含GlobalSign R1、R3、R6和R46等權威認證。關於GlobalSign根憑證列表，請參見GlobalSign根憑證。

驗證根憑證列表中是否存在GlobalSign Root CA-R3（認證subject）。
- 如果該根憑證已存在，則您的系統將不受此變更影響，繼續保持安全連線。
- 如果該根憑證缺失，應及時將這些必要的根憑證添加至您的可信根憑證庫中。
整合權威根憑證。
為了全面提升安全性和相容性，建議將所有已知且受信任的權威根憑證預先整合到用戶端的可信根憑證庫內。通過這一舉措，可有效預防未來因認證信任鏈結問題導致的串連失敗或安全警告。