使用Sectigo的SSL证书的，如果证书链包含根证书的需注意了

zhangli999

使用Sectigo的SSL证书的，如果证书链包含根证书的需注意：

由于Mozilla更新了其根证书信任策略，即对于全球所有CA的可信根证书生成后最少15年更换一次，超过时间的可信根将会逐步被Mozilla停止信任，因此Sectigo的部分老根证书将会在2025年04月逐步升级为新的根证书。

EV 证书于2025 年 4 月 15 日，OV证书于2025 年 5 月 15 日，DV证书于2025 年 6 月 2 日开始使用新的根证书签发SSL，在此之前签发的证书，均可正常使用，无任何影响。新根体系仍然兼容当前主流操作系统和移动端设备，与老根一致。

6月2日起，很多浏览器和设备不再支持Sectigo RSA Domain Validation Secure Server CA旧的根证书。

之前好多签发的证书都包含根证书的，包括腾讯云签发的证书。而实际情况是：
根证书已内置在客户端（如浏览器、操作系统）的信任存储中，无需额外下发。如果强制包含根证书，反而可能导致配置错误（如重复拼接）。

如果你的证书链中包含旧的根证书，在某些web服务器配置环境的情况下，会造成你的服务器带宽异常！！！


如果你的证书链中包含下面的根证书内容请移除：

1. -----BEGIN CERTIFICATE-----
   
2. MIIEMjCCAxqgAwIBAgIBATANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJHQjEb
   
3. MBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYDVQQHDAdTYWxmb3JkMRow
   
4. GAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UEAwwYQUFBIENlcnRpZmlj
   
5. YXRlIFNlcnZpY2VzMB4XDTA0MDEwMTAwMDAwMFoXDTI4MTIzMTIzNTk1OVowezEL
   
6. MAkGA1UEBhMCR0IxGzAZBgNVBAgMEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UE
   
7. BwwHU2FsZm9yZDEaMBgGA1UECgwRQ29tb2RvIENBIExpbWl0ZWQxITAfBgNVBAMM
   
8. GEFBQSBDZXJ0aWZpY2F0ZSBTZXJ2aWNlczCCASIwDQYJKoZIhvcNAQEBBQADggEP
   
9. ADCCAQoCggEBAL5AnfRu4ep2hxxNRUSOvkbIgwadwSr+GB+O5AL686tdUIoWMQua
   
10. BtDFcCLNSS1UY8y2bmhGC1Pqy0wkwLxyTurxFa70VJoSCsN6sjNg4tqJVfMiWPPe
    
11. 3M/vg4aijJRPn2jymJBGhCfHdr/jzDUsi14HZGWCwEiwqJH5YZ92IFCokcdmtet4
    
12. YgNW8IoaE+oxox6gmf049vYnMlhvB/VruPsUK6+3qszWY19zjNoFmag4qMsXeDZR
    
13. rOme9Hg6jc8P2ULimAyrL58OAd7vn5lJ8S3frHRNG5i1R8XlKdH5kBjHYpy+g8cm
    
14. ez6KJcfA3Z3mNWgQIJ2P2N7Sw4ScDV7oL8kCAwEAAaOBwDCBvTAdBgNVHQ4EFgQU
    
15. oBEKIz6W8Qfs4q8p74Klf9AwpLQwDgYDVR0PAQH/BAQDAgEGMA8GA1UdEwEB/wQF
    
16. MAMBAf8wewYDVR0fBHQwcjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5jb20v
    
17. QUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNqA0oDKGMGh0dHA6Ly9jcmwuY29t
    
18. b2RvLm5ldC9BQUFDZXJ0aWZpY2F0ZVNlcnZpY2VzLmNybDANBgkqhkiG9w0BAQUF
    
19. AAOCAQEACFb8AvCb6P+k+tZ7xkSAzk/ExfYAWMymtrwUSWgEdujm7l3sAg9g1o1Q
    
20. GE8mTgHj5rCl7r+8dFRBv/38ErjHT1r0iWAFf2C3BUrz9vHCv8S5dIa2LX1rzNLz
    
21. Rt0vxuBqw8M0Ayx9lt1awg6nCpnBBYurDC/zXDrPbDdVCYfeU0BsWO/8tqtlbgT2
    
22. G9w84FoVxp7Z8VlIMCFlA2zs6SFz7JsDoeA3raAVGI/6ugLOpyypEBMs1OUIJqsi
    
23. l2D4kF501KKaU73yqWjgom7C12yxow+ev+to51byrvLjKzg6CYG1a4XXvi3tPxq3
    
24. smPi9WIsgtRqAEFQ8TmDn5XpNpaYbg==
    
25. -----END CERTIFICATE-----

复制代码

盖茨

自从免费的1年证书没了，现在都用自动申请的3个月证书了。

feedeve

盖茨 发表于 2025-6-15 13:45
自从免费的1年证书没了，现在都用自动申请的3个月证书了。

就是有点烦

whl32

这个才2018年，反而是根证书USERTrust RSA Certification Authority 是2010年的，现在暂时没发现有问题

w55188

我们现在都是新的根签发了
Sectigo Public Server Authentication CA DV R36