近期数字证书领域迎来重要合规调整,Digicert官方正式宣布启动G2、G3系列中间证书停用计划,此次调整涉及网站SSL证书、代码签名证书、S/MIME邮件加密证书等全品类商用数字证书,将对政企网站、软件开发、企业办公加密、线上业务系统等众多领域产生直接影响。
此次Digicert关停G2、G3中间证书,核心原因是全球主流浏览器、操作系统及终端厂商收紧PKI公钥基础设施安全规范,严格划分TLS网站证书、代码签名证书、邮件加密证书的独立证书体系,明令禁止通用型多用途中间证书继续流通使用。以往Digicert G2、G3中间证书属于通用架构,可同时适配多种证书用途,不符合现行终端安全校验标准,存在证书用途滥用、安全校验漏洞等隐患,因此进入正式淘汰停用流程。
本次停用范围主要包含Digicert Global CA G2系列RSA中间证书、G2旗下S/MIME邮件加密专用中间证书,以及G3体系下全部ECC算法代码签名中间证书。需要重点区分的是,本次仅停用二级中间证书,Digicert G2、G3根证书本身依旧保持有效且被全球主流设备信任,企业无需更换根证书,仅需替换配套中间证书链即可,大幅降低整体升级成本。
从实际业务影响来看,未及时完成升级的证书将出现多重故障。网站端搭载旧G2中间证书的SSL证书,在新版浏览器中会弹出不安全访问提示,HTTPS链接标红、页面无法正常加载,直接影响官网运营、线上商城、政务服务平台等对外业务;软件开发行业使用G3旧中间证书完成的代码签名程序,会被系统判定为未知不安全软件,无法正常安装运行;企业员工使用旧版S/MIME邮件加密证书收发加密邮件,也会出现签名失效等问题,阻碍内部办公信息安全流转。
针对此次证书停用调整,行业内已有成熟稳妥的替换解决方案。原有G2架构网站SSL证书,可直接更换为Digicert专属TLS专用新版G2中间证书,重签后证书兼容性不变,部署流程简单便捷;企业办公所用S/MIME邮件签名加密证书,统一迁移至全新专用邮件加密中间证书体系;而此前依托G3架构的ECC代码签名证书,建议直接升级至安全性更高、合规性更强的Digicert G5全新证书体系,适配当下及未来长期安全规范。
数字证书是网络信息安全的核心基石,此次Digicert G2、G3中间证书停用,既是全球网络安全合规升级的必然趋势,也是企业优化自身网络安全架构的重要契机。