【导读】全球主流浏览器陆续移除老旧CA根证书,导致依赖单一签发链的SSL证书出现兼容性故障。新网SSL证书内置双根交叉签名与国密SM2支持,有效规避中断风险。
企业网站、API接口及内部系统亟需完成证书平滑升级,否则将直接影响用户访问成功率与PCI-DSS等合规审计结果。
自206年Mozilla Firefox率先宣布停止信任Symantec系根证书以来,Chrome、Safari及Edge已全面跟进该策略。据CA/Browser Forum统计,过去三年已有17家CA被剔出默认信任列表,累计影响超230万张存量SSL证书。
- 主流操作系统同步更新根存储库,Windows 11 23H2版本仅保留2021年后签发的有效根;
- 移动端iOS/iPadOS对非ETSI认证CA颁发证书实施更严校验机制;
- 国内金融、政务类应用强制要求具备国家密码管理局认证资质的SM2算法支持能力。
当前多数企业仍沿用单CA签发模式,在跨平台适配层面存在结构性隐患:
- Android 12+设备无法验证缺少DST Root X3回溯路径的老证书;
- 微信小程序WebView拒绝加载未绑定ICP备案域名的DV证书;
- 支付类API因OCSP响应延迟触发TLS handshake timeout错误;
- 多云混合架构中各环境证书生命周期不同步引发灰度发布异常。
针对上述问题,新网提出标准化落地建议:
- 优先选用同时集成ISRG Root X1与AffirmTrust Cross Signed中间链的OV/EV级别证书;
- 对外服务系统启用HTTP Public Key Pinning(HPKP)替代方案——Certificate Transparency日志监控;
- 批量替换前通过新网「证书健康度检测工具」扫描历史配置残留项;
- 将CSR生成环节纳入CI/CD流水线,实现私钥零接触自动化部署。

SSL证书不再是静态配置项,而是持续运行的身份凭证中枢。新网提供覆盖DNS验证、文件验证、邮箱验证三通道的快速签发流程,并支持ACME v2协议对接Kubernetes Ingress控制器。所有订单附赠免费重签服务与到期前三十天智能提醒功能,降低运维团队人工干预频次。

常见问题:
Q1:现有SHA-1签名证书是否还能继续使用?
A1:全部不推荐。Chrome 110起彻底禁用SHA-1哈希算法,调用会直接报NET::ERR_CERT_WEAK_SIGNATURE错误。
Q2:通配符证书能否用于子域二级目录隔离场景?
A2:不可以。Wildcard *.example.com仅匹配一级子域(a.example.com),不涵盖三级及以上层级(api.a.example.com)或路径级权限划分。
*本文由新网(Xinnet)内容中心编辑整理,转载请注明出处。