1
whileFalse 302 天前 via Android
你写个浏览器也能规定。
至于别人理不理你 就看你浏览器市占率了。 |
2
salmon5 OP @whileFalse 虽然我也主力用 Firefox ,感觉 Mozilla 小破公司这个决定,会有很大的负面影响(对它自己也是)。
|
3
whileFalse 302 天前 via Android
我也用 firefox ,但 firefox 真是越来越拉呀。
|
4
whileFalse 302 天前 via Android 1
我说的拉是指性能和特性方面的。
关于限制证书有效期,chrome 做得比 firefox 多多了 |
5
garywill 302 天前
在 2026 年前重新签一个新的?
|
6
salmon5 OP @garywill https://www.digicert.com/kb/digicert-root-certificates.htm
已 DigiCert 为例,签了很多: DigiCert Global Root G2 DigiCert Global Root G3 DigiCert TLS RSA4096 Root G5 DigiCert TLS ECC P384 Root G5 等等。 困难点不在于重新购买证书。 而是:做为使用 https 的公司,要推动升级 client 的根证书。 |
7
salmon5 OP 这 2 位就是受到影响的(以后会越来越多,大面积的):
https://juejin.cn/post/7263035818046488631 https://blog.csdn.net/weixin_43972546/article/details/134311098 |
8
M2K4 302 天前 via Android
十五年操作系统都能换几代了
|
9
tool2d 302 天前
android 老版本是内置 ROOT 证书的,那才叫惨,过期一大片。
|
11
whileFalse 302 天前 via Android
@tool2d 中间证书可以用多个根证书签名,只要有一个用于签名的根证书被系统信任,中间证书就可以被信任
|
12
tool2d 302 天前
|
13
xiaooloong 302 天前 3
PKI:Public key infrastructure
用户终端制造商是 pki 的一环,反正控制着一部分用户的终端,所以自己想干啥就干啥呗,前提是用户不愿意放弃这个终端。 目前控制用户侧跟证书分发的 消费领域 微软控制 windows 谷歌控制 android 苹果控制 iOS macOS mozilla 控制 firefox 浏览器 生产领域 各大 linux 发行版自己维护自己的 ca-certificats oracle 控制 oracle jre curl 有自己维护的,但在各 linux 发行版中都会被替换为发行版自己的 mozilla 如果是自己要求的,那也只影响使用 firefox 浏览器的用户,对于调用方是 java 的 http api 来说,确实没必要更换新根签发的证书,毕竟不是浏览器去调用的前端 api 。 或者、大不了手动更新一下 oracle jre 内的证书列表也不是不行,比如当年 oracle jre 7 不就因为跟不上时代,市面上新证书的根没在列表内,导致一大批 java 7 服务出现问题需要手动往 jre 7 里导新根么。 但如果是 pki 业界公认的根证书时间问题,需要限制到 15 年内,那肯定之后不止 mozilla 会行动。比如当年沃通证书,mozilla ban 完 apple ban ,ban 的机构足够多,沃通这 CA 的生存空间也越来越小,最后只能秽土转生 wotrust 重开新号了。 |
14
salmon5 OP @xiaooloong #13 Mozilla 乱搞,DigiCert 和 GlobalSign 直接就跪了,这几乎影响了所有 SSL 证书厂商。
所有使用 SSL 证书的公司,都会被这个影响(个体解决倒是也简单,如果是面对几百几千几万的 API 客户,那量级就不一样了)。 |
15
salmon5 OP 统计了下,JDK6-7,8<8u91 默认都没内置 DigiCert Global Root G2 ,
RHEL/CentOS<6.7 、<7.2 默认都没内置 DigiCert Global Root G2 , Ubuntu Server<14.04.3 默认都没内置 DigiCert Global Root G2 |
16
salmon5 OP Debian 7.x 默认都没内置 DigiCert Global Root G2
|
17
salmon5 OP https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
阿里云公告,G1 交叉签名了 G2 ,是个好消息。 已经有不少网站的公钥配置了 G1 交叉签名 G2 的证书。 |