Sectigo/Comodo 根证书过期的解决办法

6月1日 更新:
可不重新签发证书,仅需替换中级证书 即可
中级证书下载
请下载后,解压,找到对应的中级证书, 例如 DV证书,请使用里面的 DV.ca-bundle 文件,该文件可用记事本打开,复制里面的文件,替换服务器上对应的中级证书
----------------------------------------------------------------------

AddTrust External CA 是一个存在时间很长的根证书 , 即将于5月底到期,在这个根证书到期之后, 客户端和浏览器将切换到证书链上的另外一个根证书 USERTRUST CA ,这个根证书的到期时间在 2038年 ,这个是经 AddTrust External CA交叉签名后的签发的根证书,

    AddTrust External CA Root  (根证书 即将到期)
       - - ->USERTrust RSA Certification Authority   (交叉签名根证书 2010年 - 2038年到)
          - - ->Sectigo RSA Domain Validation Secure Server CA
             - - ->*.test.certificatetest.com

Sectigo根证书 USERTrust RSA Certification Authority 目前已经植入到系统 或浏览器 的下列版本, 以及更新的版本

Apple:
    macOS Sierra 10.12.1 Public Beta 2
    iOS 10
Microsoft:
    Windows XP (via Automatic Root Update; note that ECC wasn't supported by Windows until Vista)
    Windows Phone 7
Mozilla:
    Firefox 3.0.4 (COMODO ECC Certification Authority)
    Firefox 36 (the other 3 roots)
Google:
    Android 2.3 (COMODO ECC Certification Authority)
    Android 5.1 (the other 3 roots)
Oracle:
    Java JRE 8u51
Opera:
    [Browser release on December 2012]
360 Browser:
    SE 10.1.1550.0 and Extreme browser 11.0.2031.0

可能受到影响的系统:

目前主流使用的各种版本操作系统,浏览器不会任何影响。

可能受到影响的是小部分长期没有更新的老旧操作系统,一些无法更新的老旧嵌入式设备。

操作系统厂商会不定期发布各种安全,功能性方面的更新补丁, 这里面也包括系统的根证书库,上面列出的各种系统平台,其中部分老的操作系统是通过系统更新的方式植入这个根证书的, 如果有的老版本操作系统长期没更新,那就是可能系统没有这些新的根证书  ,这种情况下,在浏览器的证书链看到的根证书就是 addtrust external CA , 那么在2020年5月份之后,访问网站可能就会有问题,提示错误 。

 



解决办法:
通常情况下,您无需进行任何操作,在旧的根证书过期后,浏览器会使用 交叉签名根证书 USERTrust RSA Certification Authority 或其他相应的根证书,但是如果您的系统或设备无法更新根证书库的导致访问异常,您可以采用以下方法解决:
 ,
sectigo已经启用AAA Certificate Services根证书
Sectigo除了 这个AddTrust External CA Root 这个老的根证书外,还有另外一个比较老的根证书  AAA Certificate Services  2028到期 ,Sectigo已经启用一个使用 AAA Certificate Services根证书的交叉签名证书  ,就是说对于可能在5月份之后会有问题的部分长期不更新的老旧操作系统访问安装有Sectigo证书的网站,有办法解决由于根证书到期造成的问题,但是需要把已经在使用的  由 AddTrust External CA Root 签发的证书重新签发一次,替换服务器上目前在使用的证书。

AAA Certificate Services根证书支持更老的系统平台:

Apple iOS 3.
Apple macOS 10.4.
Google Android 2.3.
Mozilla Firefox 1.
Oracle Java JRE 1.5.0_08.

 

 

sectigo