阿里云对象存储HTTPS 根证书更换为新根 “GlobalSign Root R46” -阿里云帮助中心

背景信息

2023年初，Mozilla发布了新的根证书信任策略：对于用于验证服务器身份的根证书，若该根证书签发时间超过15年，则Mozilla不再信任该根证书。受此影响，Mozilla Firefox、Google Chrome等主流浏览器不再信任签发时间超过15年的根证书。同时Google Chrome不再信任具有多EKU（Extended Key Usage）的根证书。基于以上两点原因，使用旧版GlobalSign根证书（R1/R3/R5/R6）的网站在Mozilla Firefox、Google Chrome等主流浏览器届时将会出现安全警告或无法正常访问的情况，直接影响用户体验和业务连续性。

当前阿里云对象存储使用的HTTPS证书由"GlobalSign Root R3"根证书签发，自2026年06月15日起，OSS新增、新签证书将会逐步使用新根"GlobalSign Root R46"来签发。

重要

为了增强证书的兼容性，此次更新的证书会在2027年1月28日之前内保持对“GlobalSign Root R1”的兼容，但是R1 根会在 2028 年 1 月 28 日到期，对于一些还不支持R46 根的客户端，请务必在2027年1月28日之前升级本地根证书列表。

注意，这是一个权威CA证书全行业的升级行为，而非仅仅针对阿里集团！

哪些环境可能会受到影响

大多数现代操作系统和浏览器将继续自动信任 GlobalSign 的根证书。但是，对于一些较老的客户端或采用了Certificate Pinning的环境——如果它们明确仅信任GlobalSign Root R3（或特定的中间证书），且其“信任库（Trust Store）”中尚未包含 Root R46——那么一旦服务器开始下发新根签发的证书，这些环境可能会遇到 SSL 证书验证失败的问题。

应对建议

更新信任库：如果您负责管理的可能会访问阿里云对象存储域名的客户端、硬件设备或后端服务，请确保它们的信任库（Trust Stores）中已包含 GlobalSign Root R46 证书。
停止使用证书锁定（Certificate Pinning）：我们建议您停止以任何形式使用证书锁定，因为它极易在必要的根证书轮转和迁移期间导致验证失败。如果您的环境绝对需要锁定到根 CA 或下级（中间）CA，您必须更新您的锁定配置（pin sets），使其能够接受新的 GlobalSign Root R46 CA 以及后续公布的任何新下级 CA，以避免在新证书生效时造成服务中断。

R46 根证书验证

如果出现SSL建链失败，则需参考在操作系统中安装根证书完成客户端根证书预置。在业务客户端中访问测试环境，能够正常返回结果表示 R46 根证书验证成功。如果出现 SSL 建链失败，则需参考"在操作系统中安装根证书"完成客户端根证书预置。

GlobalSign 根证书列表：https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates

检查新根证书GlobalSign Root CA - R46（证书subject）是否在自己的可信根证书库中。如果有，则不受影响；如果没有，则需将新根证书添加到可信根证书库中。
强烈建议：最好将目前已知的权威根证书，都内置到客户端可信根证书库，具体根证书如下：
GlobalSign根证书列表.zip

相关信息

Mozilla更新根证书信任策略的通知

2023年初，Mozilla发布了新的根证书信任策略：对于用于验证服务器身份的根证书，若该根证书签发时间超过15年，则mozilla不再信任该根证书。https://wiki.mozilla.org/CA/Root_CA_Lifecycles

Google通知：https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-5/

GlobalSign根证书升级通知

受Mozilla的根证书信任策略的调整，GlobalSign的部分根证书在其到期前就已经不再被Mozilla信任，需提前停止使用。2025年12月，GlobalSign发布升级根证书的通知：https://support.globalsign.com/ssl/upcoming-changes-tls-roots-and-certificate-profiles

Chrome EKU限制

证书中extensions信息用于描述证书使用限制，其中EKU(Extended Key Usage)用于描述证书的用途，如serverAuth、clientAuth、codeSigning、emailProtection、macAddress等。

X509v3 extensions:
    X509v3 Key Usage: critical
        Digital Signature, Certificate Sign, CRL Sign
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    X509v3 Basic Constraints: critical
        CA:TRUE, pathlen:0
    Authority Information Access:
        OCSP - URI:http://ocsp2.globalsign.com/rootr6
        CA Issuers - URI:http://secure.globalsign.com/cacert/root-r6.crt
    X509v3 CRL Distribution Points:
        Full Name:
          URI:http://crl.globalsign.com/root-r6.crl

2026年6月15日起，Chrome将对根证书库中的所有CA进行限制，不再支持未指定或包含其他PKI用途的CA(如TLS客户端认证、安全邮件、数字签名等)。

Google通知：https://googlechrome.github.io/chromerootprogram/ (1.3.2章节)
EKU变化：https://www.cfca.com.cn/20251009/200001105.html