本周藍(lán)點(diǎn)網(wǎng)提到微軟在毫無預(yù)警的?直證書情況下不信任多個(gè)有效期長(zhǎng)達(dá) 30 年的根證書 (ROOT CA)，要知道根證書是接無經(jīng)恢目前計(jì)算機(jī)世界的信任基石之一，一旦根證書被無計(jì)劃吊銷 / 不信任，語微上海長(zhǎng)寧聯(lián)系方式外圍vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)將對(duì)大量軟件和網(wǎng)站產(chǎn)生影響。軟已任威瑞信

例如微軟在 8 月 24 日不信任三份根證書，復(fù)信導(dǎo)致國(guó)內(nèi)外多款商業(yè)軟件無法使用，藍(lán)點(diǎn)為什么無法使用呢？?直證書因?yàn)檫@些軟件使用被不信任的這些 ROOT CA 簽發(fā)的中級(jí)證書和子證書，也就是接無經(jīng)恢一旦根證書被不信任，其簽發(fā)的語微上海長(zhǎng)寧聯(lián)系方式外圍vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)所有中級(jí)證書和子證書全部被不信任。

被吊銷的軟已任威瑞信根證書包括：

Class 3 Public Primary Certification Authority?– 頒發(fā)日期 1996 年 1 月 29 日，有效期至 2028 年 8 月 2 日，復(fù)信吊銷時(shí)間：2023 年 8 月 23 日

Thawte Primary Root CA – 頒發(fā)日期 2006 年 11 月 17 日，藍(lán)點(diǎn)有效期至 2036 年 7 月 17 日，?直證書吊銷時(shí)間：2023 年 8 月 23 日[已恢復(fù)]

VeriSign Class 3 Public Primary Certification Authority – G5 頒發(fā)日期 2006 年 11 月 8 日，接無經(jīng)恢有效期至 2036 年 7 月 17 日，語微吊銷時(shí)間：2023 年 8 月 23 日[已恢復(fù)]

在微軟毫無預(yù)警的情況下不信任這些根證書后，今天微軟又在毫無提醒的情況下恢復(fù)信任了這些證書，估計(jì)這兩天使用上述 ROOT CA 簽發(fā)的代碼簽名證書的開發(fā)者想把微軟揚(yáng)了。

事情經(jīng)過：

前因后果具體可以看藍(lán)點(diǎn)網(wǎng)之前的報(bào)道：微軟吊銷多個(gè)根證書 (ROOT CA) 導(dǎo)致國(guó)內(nèi)外不少商業(yè)軟件無法使用

大致說下情況：被吊銷的這些證書曾經(jīng)都是賽門鐵克旗下的，多年前賽門鐵克被發(fā)現(xiàn)錯(cuò)誤為 www.google.com 簽發(fā)證書，這被谷歌發(fā)現(xiàn)，這對(duì)谷歌來說是相當(dāng)嚴(yán)重的安全問題，于是谷歌調(diào)查賽門鐵克的 CA 基礎(chǔ)設(shè)施，發(fā)現(xiàn)賽門鐵克管理混亂，錯(cuò)誤簽發(fā)了巨量的數(shù)字證書，而賽門鐵克拒不承認(rèn)、不改正，最終谷歌宣布通過 Chrome 直接不信任賽門鐵克證書。

后來賽門鐵克把證書業(yè)務(wù)賣給了 DigiCert，上面這些 ROOT CA 現(xiàn)在都屬于 DigiCert，也是原計(jì)劃在 2019~2021 年要被徹底不信任的證書。

但不知道什么原因微軟一直沒有設(shè)置不信任，也就是說在沒有保證的情況下，一大堆商業(yè)軟件開發(fā)商繼續(xù)用著這個(gè)證書，微軟也繼續(xù)信任，直到本周突然設(shè)置了不信任。

最讓人難以理解的是對(duì)于這三份根證書被設(shè)置不信任，相關(guān)方全部三緘其口，DigiCert 知道被不信任了沒有發(fā)公告，微軟設(shè)置不信任前、后、直到現(xiàn)在也同樣沒有發(fā)布任何公告。

然后突然又恢復(fù)信任了：

我是沒想到 CA 行業(yè)已經(jīng)淪落到這種地步了，微軟今天突然又恢復(fù)了三份證書中的兩份，包括 Thawte Primary Root CA 和 VeriSign Class 3 Public Primary Certification Authority -G5，對(duì)于突然恢復(fù)的原因，微軟同樣沒有發(fā)布任何說明。

但外媒 Arstechica 聯(lián)系上了微軟，微軟先來了一句可以解釋下但在文章中不能說這是微軟的說法，這被 Ars 直接拒絕，隨后文章發(fā)布。

文章發(fā)布后微軟又聯(lián)系上了 Ars 提供以下說明：

G5 證書自 2019 年起不再受信任，并在之前版本中被設(shè)置了 NotBefore，這意味著在設(shè)置的 NotBefore 之后簽發(fā)的證書不再受信任。但是在 NotBefore 之前頒發(fā)的證書將繼續(xù)受信任 (藍(lán)點(diǎn)網(wǎng)注：這也是為什么還有大量商業(yè)軟件使用 G5 證書的原因，因?yàn)樵?2019 年前簽發(fā)的證書 8 月 24 日之前都是能用的)。

在 8 月份的證書信任列表更新中，我們將此設(shè)置修改為禁用，作為常規(guī)棄用的流程的一部分，這導(dǎo)致某些具有特定配置的客戶遇到問題，為此我們?cè)?2023 年 8 月 24 日 (時(shí)差緣故國(guó)內(nèi)是 8 月 25 日，但證書列表刷新到全球最長(zhǎng)可能要 48 小時(shí)) 回滾了這次修改，暫時(shí)恢復(fù)了這些證書的信任。

藍(lán)點(diǎn)網(wǎng)補(bǔ)充：和 DigiCert 一樣，微軟甚至都沒提被封然后又恢復(fù)的 Thawte Primary Root CA，我發(fā)現(xiàn)這票公司都是你問什么他答什么，絕對(duì)不多說一句。

藍(lán)點(diǎn)網(wǎng)幫微軟總結(jié)下：

我就是要停掉這些證書，我也沒有發(fā)公告，我也懶得發(fā)公告，要不是被你們發(fā)現(xiàn)出現(xiàn)問題我也不準(zhǔn)備回滾，等問題解決了我還要繼續(xù)禁用。至于為什么不發(fā)公告。無可奉告。