我们的一个SSL提供商的根证书在2009年12月29日到期。他们有一个新的,到2029年到期。
不幸的是,使用SSL证书的网站现在抛出一个SSL错误,表明证书不能被validation,因为发行者是未知的。
经过一番草率的研究,我们发现为了解决这个问题,需要在本地机器上更新根CA的列表。
例如,我们必须从我们的SSL提供商下载新的CRT文件,然后手动将它们导入IE,Firefox等。
显然,我们不能通知我们的日常用户如上所述更新电脑。 如何解决这个问题?
我们是否应该等待浏览器更新其下一次计划更新的根CA列表?
尽pipe之前我已经pipe理并安装了新的SSL证书,但是我从来没有遇到过必须更新根证书的情况。
希望有人能帮助我指出正确的方向。
解决这个问题的短期解决scheme是简单地用另一个供应商的证书代替证书。 不幸的是,这意味着你将不得不购买($$$)新的证书。
这是CA供应商所build议的 。 他们认为你应该等到浏览器升级或手动安装证书。 这对大多数人来说可能是不可接受的。
您的SSL提供商更新了他们的根证书,但是没有经过多年的时间将其推送给所有浏览器? 如果是这样的话,我会发现自己是一个新的CA。 鉴于我们甚至不知道你在谈论哪个提供商,具体说明是不可能的。 我三重检查中间证书是否安装正确; 尽pipe我认为商业CA是蛇油供应商,但我还没有听说过这种无能的事情 。 你应该联系你的SSL提供商,并讨论如何正确解决这个问题,如果他们真的是不好的,可以得到退款。
不幸的是,这似乎是“你得到你所付出的”的情况。 最简单和最不痛苦的解决scheme可能是将您当前的证书replace为另一个供应商。 Thawte(由Verisign拥有)是全球第二大公共CA,颁发低至149.00美元的SSL证书。