# 背景 全球知名信任库 Mozilla 对于 CA 根证书的信任策略包含:全球所有 CA 的可信根证书生成后最少 15 年更换一次。过期的根证书将会逐步被 Mozilla 停止信任。(sha1签名要逐步替换,当前用到的根也要替换) 从 2025 年开始,Mozilla 将停止信任 DigiCert 下的一些老的根证书。 DigiCert 是全球的顶级CA机构 (最常见畅销的品类,曾收购赛门铁克CA业务) ;在23年3月在全球范围进行下一代根证书轮换,将这些根证书升级到新的 G2 根体系,以避免 DigiCert 证书的使用受到影响。目前新申请Digicert证书均为DigiCert Global Root G2签发 提醒:后续几年仍持续有其他CA机构会做根升级操作,如果能实现授信列表更新 能降低未来风险 # 验证方式与建议 - 验证手段: - 通过服务或者sdk能够正常访问G2根的网站,tls握手成功即完成升级,不受g2根影响 - **使用G2根的域名 DigiCert Global Root G2,域名:https://www.digicert.com/** - 验证通过: - 能够正常返回,并完成SSL握手 - 异常现象: - **SSL握手失败,x509异常,提示服务端证书不授信,导致无法建立正常的https** - 常见解决方案,大体方案: - 更新证书 - 从[DigiCert Root Certificates - Download & Test | DigiCert.com](https://knowledge.digicert.com/general-information/digicert-trusted-root-authority-certificates)或者相应的证书官网下载 - 如果是linux系统,更新到此文件中/etc/ssl/certs/ca-certificates.crt(此文件是示例,具体放置位置,需要根据系统类型和代码读取位置来定) - 如果是java建议尝试更新jdk版本 - 如果是windows,可以参考:[【Windows版】本地缺失根证书自助排查以及解决方法](https://bytedance.larkoffice.com/docx/G00UdgMcToTFsqxu38IcmdoanSe) - 建议 - 为了确保自身的系统信任 ,尽可能确保系统中信任/包含以下根(至少有 g2、g3、r3,如果避免近几年再次升级,可以包含下面所有的根):DigiCert Global Root 、DigiCert Global Root G2、DigiCert Global Root G3、DigiCert Global Root G5、GlobalSign Root CA - R1、GlobalSign Root CA - R3 、GlobalSign Root CA - R6 #   验证方式案例 注:此处只是例举几种验证方案,但最终是否有效,还是以[验证与建议](https://bytedance.larkoffice.com/docx/JSl0dSrp2oZ6XkxJZrgcp4EQnLw#share-QartdrVAaobNN8xuvsacOu6mnzg)中访问通过为准。 ##   PC浏览器访问验证 **查看G2根方法:** **1、打开浏览器,访问上述地址,点击左上角小图标**: ![image.png](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/8984a7716cdbf850f1652445c429e51d_AFYfJXxKa5.png?lazyload=true&width=1968&height=716) **2、点看详情,如图为G2根** ![image.png](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/435a62cec2fc4af06e9cf29c5216f1d3_IdWsHZQUQd.png?lazyload=true&width=1974&height=628)   PS:其他情况说明,如果浏览器提示证书不受信任,可以忽略后,按照上述方式查看证书(如果也是显示G2根 则缺失) ##   linux系统查看授信根G2是否存在 ll /etc/ssl/certs/ | grep DigiCert ![](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/8de6a1ea3b5befcdac17084a103f0085_S7vb84tcSA.png?lazyload=true&width=1280&height=488) 如果G2根存在,则忽略此问题,不存在,需要补充相关文件 ## 移动端访问(类似3.1,此处只不过是在移动端操作) 基础识别:可以参考上图支持G2的系统版本 进一步识别:可以通过移动端访问对应域名,如果G2根域名打开无异常,则无影响 解决思路: 移动端系统升级或者相应CA store能力 # 常用证书 注意,这些离线版本证书均从证书官网下载,仅供无访问外网条件的用户使用。有访问外网条件的请优先从[DigiCert Root Certificates - Download & Test | DigiCert.com](https://www.digicert.com/kb/digicert-root-certificates.htm)或者相应的证书官网下载。 ## linux [DigiCert Global Root CA.crt.pem](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/5945bad341623ae14991e09ffe851725_jUK0FBOfYw.pem) [DigiCert Global Root G2.crt.pem](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/5590efae57dc6182aa3412dcd1e8dbb5_YPGhUGlwy5.pem) [DigiCert Global Root G3.crt.pem](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/0e92d049c98128cf02a0b79874c91a8b_i4ixALjOtA.pem) [GlobalSign GCC R3 DV TLS CA 2020.pem](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/0152875e054a9e5c0e5131a6589505c1_XTKtgEXIbN.pem) [GlobalSign Root CA R3.cer](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/c5dfb849ca051355ee2dba1ac33eb028_djv54GtD6g.cer) [GlobalSign_Root_CA_-_R6.crt](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/96e65cecf75c26daa525f07b627ad84e_Bs02IVx1rA.crt) [RapidSSLTLSECCCAG1.crt](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/e1d157aaf477b4f2e03ff68f338a4ad1_1dlqGo5DIq.crt) ## windows [ChromeStandaloneSetup64.exe](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/abd241d48ecc2063caf49d953f419499_lix1SdReUr.exe) ## Mac [googlechrome.dmg](//sf3-cn.feishucdn.com/obj/open-platform-opendoc/486e0bfbf9cdbaf83618c9c639eee473_YDUNxTebyi.dmg)