本文介绍阿里云对象存储OSS HTTPS根证书升级的背景以及应对措施。
Mozilla更新根证书信任策略通知
为确保网络安全环境的持续可靠性,Mozilla于2023年初实施了新的根证书信任策略。根据此策略,所有用于服务器身份验证、且签发日期超过15年的根证书,将不再获得Mozilla的信任。更多信息,请参见Mozilla更新根证书信任策略的通知。
GlobalSign根证书升级通知
Mozilla根证书信任策略的更新直接影响到GlobalSign Root R1根证书的有效性,在GlobalSign发布根证书的升级通知中明确GlobalSign Root R1根证书将于2025年4月15日起失效。更多信息,请参见GlobalSign根证书升级通知。
OSS应对策略
鉴于上述变动,阿里云对象存储OSS特此通知以下应对策略:
OSS证书更新计划
目前,OSS采用的HTTPS证书由GlobalSign Root R1签发,尽管该根证书官方有效期至2028年1月28日,但基于Mozilla的新政策,阿里云对象存储OSS决定自2024年7月1日起,新颁发的证书将使用GlobalSign Root R3。此举旨在提前应对潜在的信任问题,确保服务的连续性和安全性。
交叉证书兼容方案
为保障过渡期间的广泛兼容性,OSS现有的证书将通过交叉证书机制实现从GlobalSign Root R1到GlobalSign Root R3的平滑迁移。同时请注意,基于GlobalSign Root R1的交叉证书有效期至2028年1月28日,考虑到证书需要在到期前13个月提交申请,因此请务必在2026年12月28日前完成所有相关根证书的更新准备工作。
未来规划与建议
考虑到长远发展,GlobalSign Root R3虽为当前解决方案,但其也将于2027年4月15日起不再被Mozilla信任,并最终于2029年3月18日到期。因此,强烈建议客户端及时升级根证书,同时确保根证书列表中同时包含GlobalSign R1、R3、R6和R46等在内的多个权威根证书。关于GlobalSign根证书列表,请参见GlobalSign根证书。
详情请参见阿里云对象存储 HTTPS 根证书升级公告。
OSS用户应对策略
验证根证书列表中是否存在GlobalSign Root CA-R3(证书subject)。
如果该根证书已存在,则您的系统将不受此变更影响,继续保持安全连接。
如果该根证书缺失,应及时将这些必要的根证书添加至您的可信根证书库中。
整合权威根证书。
为了全面提升安全性和兼容性,建议将所有已知且受信任的权威根证书预先集成到客户端的可信根证书库内。通过这一举措,可有效预防未来因证书信任链问题导致的连接失败或安全警告。