本文介绍日志服务HTTPS根证书升级的背景以及应对措施。
Mozilla更新根证书信任策略通知
为确保网络安全环境的持续可靠性,Mozilla于2023年初实施了新的根证书信任策略。根据此策略,所有用于服务器身份验证、且有效期超过15年的根证书,将不再获得Mozilla的信任。更多信息,请参见Mozilla更新根证书信任策略的通知。
GlobalSign根证书升级通知
Mozilla根证书信任策略的更新直接影响到GlobalSign Root R1根证书的有效性,在GlobalSign发布根证书的升级通知中明确GlobalSign Root R1根证书将于2025年4月15日起失效。更多信息,请参见GlobalSign根证书升级通知。
日志服务应对策略
鉴于上述变动,阿里云日志服务特此通知以下应对策略:
日志服务证书更新计划
目前,日志服务采用的HTTPS证书由GlobalSign Root R1签发,尽管该根证书官方有效期未到,但基于Mozilla的新政策,日志服务新颁发的证书已开始使用GlobalSign Root R3。此举旨在提前应对潜在的信任问题,确保服务的连续性和安全性。
交叉证书兼容方案
为保障过渡期间的广泛兼容性,日志服务现有的证书将通过交叉证书机制实现从GlobalSign Root R1到GlobalSign Root R3的平滑迁移。但是由于GlobalSign Root R1的交叉证书需要在到期前13个月提交申请,因此请务必在2026年1月1日前完成所有相关根证书的更新准备工作。
未来规划与建议
考虑到长远发展,GlobalSign Root R3虽为当前解决方案,但其也将于2027年4月15日起不再被Mozilla信任,因此,强烈建议客户端及时升级根证书,并确保根证书列表包含GlobalSign R1、R3、R6和R46等权威证书。关于GlobalSign根证书列表,请参见GlobalSign根证书。
日志服务用户应对策略
验证根证书列表中是否存在GlobalSign Root CA-R3(证书subject)。
如果该根证书已存在,则您的系统将不受此变更影响,继续保持安全连接。
如果该根证书缺失,应及时将这些必要的根证书添加至您的可信根证书库中。
整合权威根证书。
为了全面提升安全性和兼容性,建议将所有已知且受信任的权威根证书预先集成到客户端的可信根证书库内。通过这一举措,可有效预防未来因证书信任链问题导致的连接失败或安全警告。