TL;DR: 微软搞砸了,已经回滚。
TL;DR: 微软搞砸了,已经回滚。
微软发言人的承认这一更新使客户遇到预期之外的故障,并且已经回滚相关修改。
更早的一份微软中,提出这部分根证书本应在数年前移除信任,因种种原因拖延至今,并且引用 作为参考。
如数天前查证的那样,DigiCert 文档依然提到微软在过去数年间没有移除这部分证书信任的事实,且没有给出更多信息,也没有建议客户采取措施应对此类问题。
截止发稿时,微软依然没有更新根证书项目的,可以认为这是一次部署事故。
下附微软的正式回应。
The VeriSign Class 3 Public Primary Certification Authority – G5 is distrusted as of 2019 and was set to “NotBefore” in a previous release. This means that certificates issued after the NotBefore date will no longer be trusted; however, certificates issued before the NotBefore date will continue to be trusted. In our August Certificate Trust List update, we changed this setting to Disable as a part of our regular deprecation process which caused some customers with specific configurations to run into issues. On August 24, 2023, we rolled back this change to help remediate these issues.
==== 被子饼 ====
主要问题就是忘记提前发 release note
考虑到吊销了这些当年极度常用的根,却只造成了这点影响,以及参考微软的文档表述,应该确实是只影响没有做时间戳签名的极少数开发商
再考虑到时间戳签名是免费的,可以直接嫖任意一家的服务,不做时间戳是一件损人不利己的事情,毕竟这样的话,证书过期签名就失效了……
没法用常理理解开发商的意图,要么是不熟悉流程,没有做,要么是刻意恶心那些不订阅新版本更新,又希望签名有效可靠,内控流程严格的客户
