在一个完美的世界中，每个收到有关即将到来的根CA证书到期警告的单个客户端都不会错过它并根据需要升级他们的软件。但众所周知，现实并不总是那么愉快。

在本文中，我们将讨论如果您的CA的根证书在您之前过期会发生什么，以及您可以采取哪些措施来解决这些问题。

什么是根CA证书，它是如何工作的？

证书颁发机构(CA)是受信任的实体，它们通过颁发数字证书来帮助保护和验证数字身份。

从CA获得的证书用于加密系统、网络和设备之间的连接。首次创建网站时，它必须具有SSL/TLS证书。同样，电子邮件通信可以通过获取安全电子邮件或S/MIME证书进行加密和数字签名。

在证书层次结构中，有三个分支：

根证书

中级证书

终端实体证书

为了更好地理解认证路径，以下是GlobalSign的SSL/TLS根CA证书层次结构的表示：

在这个层次结构中，一端是终端实体证书，另一端是CA的根证书，中间证书介于两者之间。当有人访问您的网站时，浏览器将在整个链条中导航——从最终实体证书到中间证书再到根证书，一路验证每一个证书。

根证书

根CA证书是自签名的，颁发的“toandby”字段将匹配更长的有效期。它们尽可能保持安全，因为它们为整个组织提供信任根。如果恶意方获得了根CA证书和私钥，这将是一个巨大的漏洞，因为他们可以开始颁发证书，然后全球组织和用户隐式信任这些证书。

根CA证书是颁发数字证书时的信任锚。它位于证书层次结构的顶部。计算机、设备和浏览器确定它们在其证书存储或信任存储中信任哪些根证书。如果您的颁发CA在列表中，则它是受信任的。

下图是GlobalSign的GlobalSign根CA证书：

中级证书

中间证书是根证书和最终实体证书之间的分隔层。如果根证书用于颁发中间证书，则中间证书用于颁发客户端的证书。它们还用于颁发不同类型的证书，例如SSL/TLS证书、文档签名证书、安全电子邮件证书、代码签名证书等。

以下是GlobalSign中间证书的一些示例：

终端实体证书

使用该证书的最终用户将获得中间证书。计算机和设备通过验证证书的颁发者来确定是否信任您的证书。然后他们将验证您的中间体的根证书是否在他们的证书存储中。

下面是一张发给GlobalSign网站之一的SSL证书的图像。我们可以看到它是由GlobalSign扩展验证CA-SHA256-G3发布的，如图所示。

您的证书的认证路径通常如下所示：

合并后，这三个文件（根文件、中间文件和实体文件）形成了一条信任链。

这证明该网站颁发的证书是有效和合法的。但是当根CA证书过期时会发生什么？

当根CA证书过期时，它对我有什么影响？

当根CA证书到期时，这意味着操作系统将使证书无效。它将影响上面讨论的层次链中的所有证书。

它可能会导致服务中断、网站、软件和电子邮件客户端停机、错误和其他问题。由于计算机、设备和浏览器将不再信任由CA颁发的具有过期根证书的证书，这也意味着尚未收到更新的旧设备或运行旧软件版本的设备可能会遇到一些重大问题和在最坏的情况下，他们可能会停止工作。

如何解决过期的根CA证书的问题？

从表面上看，问题的修复看起来很简单：需要更新根CA证书，但并非所有设备都会收到更新。当他们这样做时，并不是所有的人都会被安装。

如果您受到过期的根CA证书的影响，您有两种选择：1)重新安装证书或2)从不同的CA获取新证书。

第一个选项因客户而异，有些只需要几分钟即可解决问题，而另一些则在此过程中面临错误和错误。在这种情况下，最好从不同的CA获取证书以备不时之需。

谈到停机时间，时间至关重要。几分钟的停机时间可能意味着数以千计的收入损失，在某些情况下，这意味着网站将不得不停机一段时间，直到问题得到解决。

如果您依赖证书进行安全通信，就像我们现在大多数人所做的那样，花时间检查您当前的验证链至关重要。

网站安全是所有企业的必需品。由于证书过期而导致的网站停机可能会损害您网站的安全性、公司的信誉和客户的信任。作为历史最悠久的CA之一，我们的证书受到亚太地区领先机构和组织的信任。

如果您决定现在是时候进行转换，我们可以帮助您轻松完成CA转换。我们提供各种SSL/TLS证书选项，让您的公司免于不便：

域验证(DV)证书

可靠的TLS基础级加密，自动和即时发布（几分钟内）。

组织验证(OV)证书

具有即时身份信息的强大SSL/TLS保护，审核过程通常只需1-2个工作日。该证书将显示域名的企业身份和所有权。

扩展验证(EV)证书

当今可用的最高级别的SSL/TLS。它的存在是网站有效性的一个指标，并且它由经过验证的合法企业拥有和注册。审核过程通常需要3-4个工作日。

获得我们的任何证书后都可以访问我们的证书管理平台，使您的证书管理更加无缝和灵活。这不仅可以帮助您轻松管理数字证书和订阅，还可以确保您的企业永远不会遇到证书到期和停机的负担。