Certum CA 换根通知

环度小编：xadmin

Certum CA 已经更新了它的根证书体系，并自 2025 年 9 月 15 日起正式启用了新的根 CA（Root CA）证书，以符合 Mozilla 和 Google 的根信任库策略（即根证书生命周期政策，超过一定年限的根证书将被撤销信任）。

如果换根之后存在兼容性相关问题，您可以随时联系我们 400-9989-115

新根证书是什么

Certum 引入了以下主要新的根证书：

• Certum Trusted Root CA

• 支持 SSL/TLS 以及 S/MIME

• 在主要浏览器和操作系统中已被信任

• 有明确的信任期限（例如直到 2032–2035 年）

• Certum EC-384 CA

• ECC（椭圆曲线）类型根证书

• 同样支持现代加密算法并被主流平台信任

关于SSL证书的变化：

For older systems, it may be necessary to install cross-certificates:

For Certum Trusted Root CA: https://repository.certum.pl/ctnca-ctrca.pem

For Certum EC-384 CA: https://repository.certum.pl/ctnca-cec384ca.pem

为什么要更新根证书

这个根证书更新是 为了满足 Mozilla 和 Google 的政策要求：根 CA 证书一旦超过一定寿命（一般是 15 年），新版浏览器和操作系统将不再信任旧根证书。Certum 的旧根证书因此需要更新或被撤销信任。

新根证书的兼容性如何

主流环境兼容性很好

• 新的 Certum 根证书在主流浏览器（Chrome / Firefox / Safari）和现代操作系统（Windows、macOS、iOS、Android ≥14）中被默认信任，因此绝大多数用户/设备不会注意到变化。

旧系统/旧设备可能不兼容

• 对于 非常老旧的系统或设备（例如未更新的 Android 版本、一些旧企业系统或老旧 IoT/嵌入式平台），新的根证书可能 尚未预置在信任库中，这可能导致 SSL/TLS 或 S/MIME 验证失败，需要手动安装根证书或交叉证书。

交叉签名机制支持旧环境
Certum 还采用了 交叉签名（cross-certification）机制，使得新根 CA 与旧根证书之间建立桥接信任链，以改善老旧环境中的兼容性。

 兼容性总结