隨著全球資安政策不斷進化,SSL/TLS憑證的管理與使用規範也將迎來重大變革。以下整理三項重要調整,請所有客戶與網站管理者特別留意:
1. SSL/TLS憑證信任鏈全面升級
隨著全球瀏覽器信任政策的調整(包含Firefox、Google、Microsoft等),憑證商將於2025至2026年間,陸續升級SSL/TLS憑證的信任鏈與根憑證架構,以提升網站安全性與相容性。請用戶特別留意以下重要說明:
各品牌信任鏈升級時程
DigiCert(含Thawte、GeoTrust)
自2023年3月8日起,所有新簽發與續用憑證均已切換至DigiCert Global Root G2。舊根憑證Baltimore CyberTrust Root已於2025年4月15日起遭Firefox取消信任, 2026年起將陸續撤除其他DigiCert G1根憑證信任。
Sectigo
2025年3月至6月,將分階段切換所有TLS憑證(DV/OV/EV)至新根憑證Sectigo Public Server Auth Root R46 / E46,最晚於2025年6月2日全面生效。
GlobalSign
2025年7月起,所有GlobalSign TLS憑證(DV/OV/EV)將全面採用新根憑證GlobalSign Root R46 / E46,最晚於2026年7月27日全面生效。
用戶須知與建議
2023年3月後購買或續用的DigiCert、Thawte、GeoTrust憑證均已自動採用新根憑證,舊憑證到期時也會自動轉換,無需額外處理。
Sectigo用戶自2025年6月2日起,購買、續用或重發憑證時會自動轉換至新信任鏈。請主機管理員提前確認系統環境是否支援新版根憑證。
GlobalSign用戶自2026年第3季起購買、續用或重發時自動採用新根憑證。
更新根憑證架構無需用戶額外操作,憑證續用或換發時系統將自動完成切換。
常見問答(FAQ)
Q1:現有憑證需要立即更換嗎?
現有憑證可正常使用至到期。到期續用、重發或申請新憑證時將自動換發新信任鏈。
Q2:為什麼我收到的憑證和以往長得不一樣?
信任鏈升級後,新憑證的內容和簽發路徑會有變化,這是正常現象,不影響憑證使用。請您務必將新的中繼憑證(Intermediate Certificate)一併安裝在主機或系統上,以確保用戶端裝置和瀏覽器能順利建立信任連線,避免憑證鏈不完整導致連線異常。
Q3:本次升級會影響網站安全嗎?
升級目的是強化全球信任與相容性,不影響既有安全性。只需確保主機與設備支援新版根憑證,即可持續維持網站與服務的正常運作。
2. SSL/TLS憑證效期將逐年縮短
根據憑證授權中心/瀏覽器論壇(CA/Browser Forum)的最新決議,自2026年起,SSL/TLS憑證的有效期限將分階段縮短:2026年起最長約200天、2027年起約100天,最終於2029年3月15日縮短至47天。
特別提醒:
這項新政策不會立即產生影響,目前您已購買或即將購買的憑證,皆可依原有有效期限正常使用。。
憑證購買、續用的計費方式仍以年為單位,不會因效期縮短而改變計價方式。
建議各位用戶提前盤點現有憑證數量與管理方式。
3. Chrome不再信任含clientAuth的公開SSL/TLS憑證
自2026年6月15日起,GoogleChrome將不再信任任何同時包含「client authentication(clientAuth)」用途的公開SSL/TLS憑證,clientAuth指的是憑證同時用於驗證人員或裝置的身分,例如:企業內部系統登入時要求使用個人或裝置憑證驗證、API或IoT設備進行雙向驗證(mTLS)等。
此措施表示未來SSL/TLS憑證只能用於加密網站伺服器連線,不再適用於「身分驗證」等其他目的。一般只用於網站安全連線的憑證不會受到影響。
資料來源
