我有一个由Sectigo(以前的Comodo Positive SSL产品)颁发的证书。状况良好,有效期为1年零7个月。该证书由Sectigo RSA域验证安全服务器CA颁发。供应商提供的CA链中有两个中间证书:最近的Sectigo RSA域验证安全服务器CA和下一个中间的USERTrust RSA证书颁发机构,证书颁发机构将于2020年5月30日到期。
中级USERTrust RSA证书颁发机构的有效期非常接近,并且由浏览器的AddTrust外部CA根目录信任签名。
与此同时,距离我的域证书最近的中间Sectigo RSA域验证安全服务器CA由另一个具有相同名称USERTrust RSA证书颁发机构的根签署,但这不同于以前提到的CA证书。并且此根目录受到通用浏览器的信任。
我已经尝试通过ssllabs.com的checker进行检查,我发现今天一切正常。但是我不了解未来。如果我将过期的中间链留在5月30日之后会怎样?还是最好事先从链中排除这种中间体?
在两种情况下,USERTrust RSA证书颁发机构都是相同的CA(相同的主题,相同的密钥),并已签名两次-一次由AddTrust外部CA根目录]进行,一次由其自身进行。
这允许Sectigo在与所有依赖方应用程序供应商(通常是浏览器和OS)合作时将USERTrust RSA证书颁发机构]引入为新的CA,以确保将其添加到其信任锚存储中。一旦他们确信所有人都信任它,AddTrust外部CA根目录
将是多余的并且可以退役,这似乎计划在2020年5月进行。您希望所有浏览器都信任USERTrust RSA证书颁发机构证书,因此没有理由发送更长的链。但是,如果您认为某些用户群正在使用过时的浏览器或操作系统,则可能需要同时发送两者。只有您可以决定。
如果您决定同时发送这两个链,则依赖方会自行将链建立到信任锚,并且他们走哪条路径没有区别-只要他们到达一个根。进入6月后,只有一条路径有效,因此另一条路径将被丢弃。此时,无论您是否发送old链,您使用过时的浏览器或OS的所有使用基础都将收到错误消息,因此您最好停止发送它并节省Internet流量(少量)。 >