TLS 根和证书配置文件即将发生的变化

亲爱的客户，

Mozilla 和Chrome 浏览器已宣布了一些变更，这些变更要求GlobalSign 使用的根证书以及公开信任的TLS 证书产品的 TLS 证书配置文件进行变更。 本文介绍了这些新要求的来源以及我们遵守这些要求的时间表。

公告 

• Mozilla 关于移除超过15 年历史的根的公告。

• Mozilla Root 商店政策。

• Chrome 根计划政策。 
• CAB 论坛SC-81 号投票，将 2026 年 3 月开始的最长有效期缩短至 200 天。 

Chrome 浏览器和Mozilla 根据根的年龄移除信任的时间表 

Chrome 浏览器和Mozilla 浏览器都已宣布，它们计划根据TLS 根的创建日期，取消对TLS 旧根的信任。 

Mozilla 和Chrome 浏览器转向 TLS 专用根的时间表 

Chrome 浏览器和Mozilla 浏览器都设定了转用TLS 专用根的时间表。 目前，Globalsign使用的根（R3、R5、R6）是多用途根，可用于安全邮件、代码签名和其他用途。2019 年，GlobalSign创建了两个 TLS 专用根，一个使用 RSA 密钥 R46，另一个使用 ECC 密钥E46。有关 GlobalSign 根证书的列表，请参阅此页面。

来自 Chrome 根计划政策的最严格要求，根据我们的发行计划，所有 GlobalSign 多用途根都将在 2026 年 6 月 15 日后的90 天内设置SCTNotAfter 约束。 这意味着，在2026 年 9 月 13 日之前以任何 GlobalSIgn 多用途根签发的所有证书都将在其整个有效期内受到信任，而在此日期之后签发的任何证书都将不被信任。 

Chrome 浏览器TLS 证书配置文件变更 

除了移除根和/或应用 SCTNotAfter 约束外，Chrome 浏览器还规定在 TLS 专用根下签发的 TLS 证书必须仅包含 ServerAuth 扩展密钥用法（EKU）。 这意味着所有其他 EKU（包括常用的 ClientAuth EKU）都将无法在 TLS 专用根下使用。 

总结 

考虑到上述所有因素，GlobalSIgn将继续签发带有ServerAuth 和ClientAuth EKU 的 TLS 证书，在 2026 年 8 月之前，这些证书在我们的多用途根下的 200 天有效期内都是可信的；不过，我们打算在此之前完成过渡，以避免最后一刻出现任何不可预见的挑战。 更详细的计划如下：

针对 Atlas 客户： 

• 从 2025 年第三季度 CA 轮换开始（2025 年 7 月 8 日，根据我们在此处发布的时间表），我们将在 TLS 专用根下创建一套新的 CA，供用户选择使用。 
  

客户若要测试 TLS 专用根签发的 TLS 证书，可使用 GlobalSign根证书技术支持文章中 适用根下的测试链接。 

• 2026 年第三季度，所有 TLS 颁发都将转移到 TLS 专用根。我们将提供 R3-R46 和 R5-E46 交叉证书，为浏览器和应用程序提供返回 R3 和 R5 的链，以实现最佳的普遍性。 

对于不一定需要浏览器支持的Atlas 客户，我们强烈推荐使用我们的IntranetSSL 产品，该产品允许更长的证书有效期、更长的域重复使用时间、无需CAA 检查，并且由于证书不会发布到CT 日志中，因此还具有更高的隐私性。 

针对 GCC 客户： 

• 2025 年第四季度，将创建一套新的 MSSL OV/EV CA，供选择使用。所有签发将在 2026 年第三季度转移。 

• 2026 年 7 月 27 日，直销和代理产品将转至专用 TLS 根 CA。 

对于不一定需要浏览器支持的企业客户，我们强烈推荐使用我们的IntranetSSL 产品，它允许更长的证书有效期、更长的域重复使用时间、无需CAA 检查，而且由于证书不会发布到CT 日志中，因此还能提供额外的隐私保护。 

受影响的产品： 

• TLS: DV, OV, EV 

• MSSL: OV, EV 

我们在此提供帮助

如果您有任何问题，请联系我们销售人员。

GlobalSign China Co., Ltd

环玺信息科技（上海）有限公司

2025年07月16日