SSL 根证书是 SSL 信任链的核心。 证书颁发机构使用它们向最终用户颁发服务器证书。 浏览器和应用程序在安装包中包含根证书,并能在发生安全事件时迅速撤销。 CA 会在根证书过期前提前更换。
证书颁发机构将密钥存储在硬件安全模块中,以防止根证书被盗。 此外,物理计算设备位于一个上锁的保险库中,保险库有钢门和警卫。 与商业证书不同,根证书的寿命更长。
当根证书即将到期时,CA 会提前通知客户,就像微软最近所做的那样。 科技巨头在一份简短的通知中告知用户,与微软 365 服务相关的证书将于 2025 年到期。
Microsft 打算用一组不同的根,特别是 “DigiCert Global Root G2″,来替换即将到期的证书。
DigiCert拥有全球 58% 的 EV SSL 证书市场份额和 95% 的 OV 证书市场份额。 包括《财富》杂志和全球顶级银行在内的最具创新精神的公司都使用 DigiCert 保护敏感数据。 DigiCert SSL 根证书可追溯到 25 年前最初的 VeriSign 根证书。
Microsoft 365 服务向替代根 CA 的迁移已经开始。 该项目于 2022 年 1 月启动,将持续到 2022 年 10 月。 这样,应用程序创建者和用户就有足够的时间来处理即将到来的证书更换。
虽然这种转换不会影响大多数组织,但对于使用证书钉钉的应用程序开发人员来说,可能会有例外。 证书锁定可限制哪些证书对特定网站有效,从而限制风险。管理员不允许使用任何受信任的证书,而是 “钉住 “他们所选择的证书颁发机构、公共密钥甚至终端实体证书。 2025 年 5 月之后,这些运营商可能会面临 “证书验证错误”。
微软发布了一份详细的文件 ,概述了验证错误对应用程序的潜在影响,并为使用这些应用程序的企业提供了建议
“该文件指出:”如果您使用的应用程序与 Microsoft Teams、Skype、Skype for Business Online 或 Microsoft Dynamics API 集成,而且您不确定该应用程序是否使用证书钉扎,请向应用程序供应商咨询。
为根目录切换做准备的最佳方法是使用新 CA 的属性更新源代码。 微软强调,在短时间内添加或编辑 CA 是最佳的管理做法。
如果您使用的是受过期根证书影响的 Microsoft 服务之一,那么现在就是为即将到来的变更做好准备的时候了。
Microsoft 365(前身为 Office 365 订阅)是一种云服务,提供各种生产力工具和功能强大的应用程序,帮助用户和组织简化工作流程并实现目标。 通过增强的安全功能和实时连接,Word、Excel 和 PowerPoint 等常用程序可随时随地使用。
由 macrovector 创建的系统管理员矢量 –www.freepik.com