本文介紹阿里云對象存儲OSS HTTPS根證書升級的背景以及應對措施。
Mozilla更新根證書信任策略通知
為確保網絡安全環境的持續可靠性,Mozilla于2023年初實施了新的根證書信任策略。根據此策略,所有用于服務器身份驗證、且簽發日期超過15年的根證書,將不再獲得Mozilla的信任。更多信息,請參見Mozilla更新根證書信任策略的通知。
GlobalSign根證書升級通知
Mozilla根證書信任策略的更新直接影響到GlobalSign Root R1根證書的有效性,在GlobalSign發布根證書的升級通知中明確GlobalSign Root R1根證書將于2025年4月15日起失效。更多信息,請參見GlobalSign根證書升級通知。
OSS應對策略
鑒于上述變動,阿里云對象存儲OSS特此通知以下應對策略:
OSS證書更新計劃
目前,OSS采用的HTTPS證書由GlobalSign Root R1簽發,盡管該根證書官方有效期至2028年1月28日,但基于Mozilla的新政策,阿里云對象存儲OSS決定自2024年7月1日起,新頒發的證書將使用GlobalSign Root R3。此舉旨在提前應對潛在的信任問題,確保服務的連續性和安全性。
交叉證書兼容方案
為保障過渡期間的廣泛兼容性,OSS現有的證書將通過交叉證書機制實現從GlobalSign Root R1到GlobalSign Root R3的平滑遷移。同時請注意,基于GlobalSign Root R1的交叉證書有效期至2028年1月28日,考慮到證書需要在到期前13個月提交申請,因此請務必在2026年12月28日前完成所有相關根證書的更新準備工作。
未來規劃與建議
考慮到長遠發展,GlobalSign Root R3雖為當前解決方案,但其也將于2027年4月15日起不再被Mozilla信任,并最終于2029年3月18日到期。因此,強烈建議客戶端及時升級根證書,同時確保根證書列表中同時包含GlobalSign R1、R3、R6和R46等在內的多個權威根證書。關于GlobalSign根證書列表,請參見GlobalSign根證書。
詳情請參見阿里云對象存儲 HTTPS 根證書升級公告。
OSS用戶應對策略
驗證根證書列表中是否存在GlobalSign Root CA-R3(證書subject)。
如果該根證書已存在,則您的系統將不受此變更影響,繼續保持安全連接。
如果該根證書缺失,應及時將這些必要的根證書添加至您的可信根證書庫中。
整合權威根證書。
為了全面提升安全性和兼容性,建議將所有已知且受信任的權威根證書預先集成到客戶端的可信根證書庫內。通過這一舉措,可有效預防未來因證書信任鏈問題導致的連接失敗或安全警告。