尊敬的e签宝开发者:
由于全球知名信任库 Mozilla 更新了其根证书信任策略,对于全球所有CA的可信根证书生成后最少15年更换一次,超过时间的可信根将会逐步被Mozilla停止信任。2025 年,Mozilla 将开始不再信任较旧的 DigiCert 根证书。DigiCert 已安排在 Mozilla 不信任政策生效前,迁移到 G2 根证书体系。
e签宝相关域名的 SSL 证书是由 DigiCert 签发,当 DigiCert Global Root CA 根证书在2026年04月15日到期之后,可能会出现以下影响,若遇到,贵司可参考文末解决方法自行处理。
根证书信任策略更新的影响点如下:
- 2024年12月01日之后签发的 SSL 证书,在 App 业务、IoT终端、非PC浏览器、Java客户端等中可能会因贵司的操作系统或客户端中缺少 DigiCert 新根证书(如 DigiCert Global Root G2) 或其中间证书,er造成客户端与服务器建立 HTTPS 安全连接时出现握手异常,造成API接口调用异常。
- 常见报错:sun.security.validator.ValidatorException: PKIX path building failed、javax.net.ssl.SSLHandshakeException等。
解决方法:
方法1:Java 开发语言可以升级到 Oracle JDK 8u201 版本。其他开发语言采用升级操作系统方式来解决。
方法2:Java 开发语言可以下载 DigiCert 新根证书到JVM信任库,并重启Java应用项目。JVM信任库通常位于$JAVA_HOME/jre/lib/security/cacerts中。
方法3:贵司调用e签宝相关接口时在代码层忽略SSL证书校验。
方法4:升级操作系统到最新版本。
方法5:下载 DigiCert 新根证书并刷新到操作系统中。
我要纠错