TL;DR: 微软搞砸了，已经回滚。

TL;DR: 微软搞砸了，已经回滚。 微软发言人的承认这一更新使客户遇到预期之外的故障，并且已经回滚相关修改。 更早的一份微软中，提出这部分根证书本应在数年前移除信任，因种种原因拖延至今，并且引用 作为参考。 如数天前查证的那样，DigiCert 文档依然提到微软在过去数年间没有移除这部分证书信任的事实，且没有给出更多信息，也没有建议客户采取措施应对此类问题。 截止发稿时，微软依然没有更新根证书项目的，可以认为这是一次部署事故。 下附微软的正式回应。 The VeriSign Class 3 Public Primary Certification Authority – G5 is distrusted as of 2019 and was set to “NotBefore” in a previous release. This means that certificates issued after the NotBefore date will no longer be trusted; however, certificates issued before the NotBefore date will continue to be trusted. In our August Certificate Trust List update, we changed this setting to Disable as a part of our regular deprecation process which caused some customers with specific configurations to run into issues. On August 24, 2023, we rolled back this change to help remediate these issues. ==== 被子饼 ==== 主要问题就是忘记提前发 release note 考虑到吊销了这些当年极度常用的根，却只造成了这点影响，以及参考微软的文档表述，应该确实是只影响没有做时间戳签名的极少数开发商 再考虑到时间戳签名是免费的，可以直接嫖任意一家的服务，不做时间戳是一件损人不利己的事情，毕竟这样的话，证书过期签名就失效了…… 没法用常理理解开发商的意图，要么是不熟悉流程，没有做，要么是刻意恶心那些不订阅新版本更新，又希望签名有效可靠，内控流程严格的客户

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响 今天 Cloudflare 发布关于 Let's Encrypt 根证书变更的提示，这个提示其实 Let's Encrypt 早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let's Encrypt 最初使用 IdenTrust 交叉签名的根证书，这个根证书自 2000 年以来就是有效的，因此广泛兼容各类老旧设备，包括 Android 7.1.1 及此前的版本。后来 Let's Encrypt 推出了自己的根证书 ISRG Root X1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而 IdenTrust 交叉签名证书将在 2024 年 9 月 30 日到期，因此后续开发者也无法再申请签发基于 IdenTrust 的 Let's Encrypt 证书。Cloudflare 也停止签发旧证书：Cloudflare 今天发布的公告说的是从今年 5 月 15 日开始，该平台不再签发基于 IdenTrust 的 Let's Encrypt 证书，也就是后续签发的新证书全部都是 ISRG Root X1 的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据 Let's Encrypt 的统计，目前超过 93.9% 的 Android 设备已经信任 ISRG Root X1，但剩余个位数的老旧 Android 版本也就是 7.1.1 之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持 Android 7.1.1 及之前的版本了。注：Android 5.0~7.1 用户可以安装Firefox浏览器，Firefox浏览器内置了 ISRG ROOT CA 证书所以可以继续访问。 ... PC版： 手机版：

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let's Encrypt 宣布今年已签发 30 亿份域名证书 负责运营 Let's Encrypt 的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了 30 亿份证书。 Let's Encrypt 于 2015 年 9 月开始提供免费域名证书签发服务，签发的首个网站是 helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用 HTTPS（SSL / TLS）和加密通信所需的 X.509 数字证书。 Let's Encrypt 自 2018 年 8 月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle 和黑莓的证书）直接信任。这个免费和自动化的 CA 允许任何域名所有者以零成本获得可信的证书。现在，该 CA 说它每天签发数百万份。 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销 提醒：如果你使用Let’s Encrypt提供的免费SSL证书，请检查你提交申请时留的邮箱，如果邮箱收到来自Let’s Encrypt的通知则你的证书很可能会在未来5天内被吊销。 如果你当时留的邮箱是随便填写的，那么基于稳妥考虑建议你重新申请并签发证书，确保旧证书不会被自动吊销。 吊销工作将从国际协调时2022年1月28日16:00开始(UTC +0，下同)，最迟会在5天内完成吊销，如果快的话那么最近签发的错误证书很可能很快就会被吊销。 吊销原因：根据Let’s Encrypt发布的公告，第三方仓库Boulder向ISRG(Let’s Encrypt的运营方)发出通知，该机构使用的ALPN TLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。 Let’s Encrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’s Encrypt Certificate Policy政策要求，证书颁发机构需在5天内让错误证书失效，Let’s Encrypt计划从2022年1月28日16:00开始吊销错误证书。 但请注意，并非所有证书都受此问题影响，Let’s Encrypt仅会撤销受影响的错误证书，当前已经向相关用户发送邮件通知。 Let’s Encrypt预计少于1%的活跃证书受此问题影响，但考虑到Let’s Encrypt活跃证书超过2.21亿张，即便是1%也影响数百万张证书，这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败，也就是直接导致网站或服务无法连接。 cnBeta

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天 6 月 28 日 Microsoft 365 某个 CDN 链接忘记更新证书导致全球大量用户受到影响，不过还有个地址证书过期已经超过 25 天还没有更新。这个地址是微软 SwiftKey 键盘的支持网站： 该网站已经被迁移到主域名下，因此其实际作用就是负责跳转到主域名。其使用的数字证书已经在 2024 年 6 月 10 日过期，因此目前用户访问是会被浏览器直接拦截，如果用户点击高级选项并继续访问，那么可以继续实现跳转。虽说这是个废弃的域名不过因为还负责进行 301 重定向，所以还有一点点用处的，对微软来说应当继续更新证书提供访问，亦或者选择直接彻底废弃这个域名不要再使用。微软在 2016 年花费 2.5 亿美元收购了 SwiftKey 键盘 (即输入法)，到 2022 年微软突然宣布要放弃 SwiftKey for iOS 版，引起不少用户抗议后微软放弃这个想法并继续提供更新。现在该输入法已经集成了人工智能应用 Copilot，从口碑来说这还是个挺不错的输入法，在国外有不少用户长期使用。 ... PC版： 手机版：

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：