根证书是SSL/TLS信任链的根基,用于验证服务器证书的可信性。受全球根证书信任策略变更影响,OSS正在推进根证书升级,确保HTTPS访问的持续安全可用。
升级背景
Mozilla于2023年初实施新的根证书信任策略:签发日期超过15年的服务器身份验证根证书将不再获得信任。受此影响,GlobalSign Root R1根证书将于2025年4月15日起失效。详情请参见Mozilla根证书信任策略通知。
OSS应对策略
阿里云OSS已采取以下措施确保服务平滑过渡。详情请参见阿里云对象存储HTTPS根证书升级公告。
措施 | 说明 |
证书更新 | 自2024年7月1日起,OSS新颁发的证书使用GlobalSign Root R3,确保与最新安全标准兼容。 |
交叉证书兼容 | 现有证书通过交叉证书机制实现R1到R3的平滑迁移。交叉证书有效期至2028年1月28日,建议在2026年12月28日前完成更新准备。 |
未来规划 | GlobalSign Root R3将于2027年4月15日起不再被Mozilla信任,最终于2029年3月18日到期。建议客户端根证书列表中包含R1、R3、R6和R46等多个根证书,以应对未来证书轮替需求。 |
用户应对方式
绝大多数用户无需操作。 现代操作系统(Windows 7+、macOS 10.12.1+、主流Linux近5年版本)和浏览器会自动更新内置根证书库。
仅当在老旧操作系统、嵌入式设备或未及时更新的自定义客户端上通过HTTPS访问OSS遇到证书错误时,才需按以下步骤排查。
步骤一:检查是否存在"GlobalSign Root CA - R3"根证书
Windows
按下Win + R,输入
certmgr.msc并回车,打开证书管理器。在左侧导航栏展开。
查找颁发给为GlobalSign、友好名称为GlobalSign Root CA - R3的证书。
Linux
以Ubuntu为例,打开终端执行以下命令,查看系统证书目录中是否存在GlobalSign相关证书:
ls /etc/ssl/certs/ | grep GlobalSignmacOS
打开访达,搜索“钥匙串访问”并打开。
单击系统根证书,在搜索框中输入“GlobalSign”,双击可查看证书详情。
步骤二:安装缺失的根证书
如果确认系统中缺少该根证书,请参见在操作系统中安装根证书操作。