Mozilla 规定根证书只能 15 年有效期

你写个浏览器也能规定。
至于别人理不理你 就看你浏览器市占率了。

@whileFalse 虽然我也主力用 Firefox ，感觉 Mozilla 小破公司这个决定，会有很大的负面影响（对它自己也是）。

我也用 firefox ，但 firefox 真是越来越拉呀。

我说的拉是指性能和特性方面的。
关于限制证书有效期，chrome 做得比 firefox 多多了

在 2026 年前重新签一个新的？

@garywill https://www.digicert.com/kb/digicert-root-certificates.htm
已 DigiCert 为例，签了很多：
DigiCert Global Root G2
DigiCert Global Root G3
DigiCert TLS RSA4096 Root G5
DigiCert TLS ECC P384 Root G5
等等。
困难点不在于重新购买证书。
而是：做为使用 https 的公司，要推动升级 client 的根证书。

这 2 位就是受到影响的（以后会越来越多，大面积的）：
https://juejin.cn/post/7263035818046488631
https://blog.csdn.net/weixin_43972546/article/details/134311098

十五年操作系统都能换几代了

android 老版本是内置 ROOT 证书的，那才叫惨，过期一大片。

@salmon5 可以用老的根交叉签一下新的？我记得 Let's Encrypt 原来就这样搞的。

@tool2d 中间证书可以用多个根证书签名，只要有一个用于签名的根证书被系统信任，中间证书就可以被信任

@whileFalse 那要看签发商，愿不愿意用别的根证书交叉签名了。

这种情况比较少，更常见的是新的根证书，放到官方主页让你手动下载更新，就和 apple 一样。

PKI：Public key infrastructure
用户终端制造商是 pki 的一环，反正控制着一部分用户的终端，所以自己想干啥就干啥呗，前提是用户不愿意放弃这个终端。

目前控制用户侧跟证书分发的

消费领域
微软控制 windows
谷歌控制 android
苹果控制 iOS macOS
mozilla 控制 firefox 浏览器

生产领域
各大 linux 发行版自己维护自己的 ca-certificats
oracle 控制 oracle jre
curl 有自己维护的，但在各 linux 发行版中都会被替换为发行版自己的

mozilla 如果是自己要求的，那也只影响使用 firefox 浏览器的用户，对于调用方是 java 的 http api 来说，确实没必要更换新根签发的证书，毕竟不是浏览器去调用的前端 api 。
或者、大不了手动更新一下 oracle jre 内的证书列表也不是不行，比如当年 oracle jre 7 不就因为跟不上时代，市面上新证书的根没在列表内，导致一大批 java 7 服务出现问题需要手动往 jre 7 里导新根么。

但如果是 pki 业界公认的根证书时间问题，需要限制到 15 年内，那肯定之后不止 mozilla 会行动。比如当年沃通证书，mozilla ban 完 apple ban ，ban 的机构足够多，沃通这 CA 的生存空间也越来越小，最后只能秽土转生 wotrust 重开新号了。

@xiaooloong #13 Mozilla 乱搞，DigiCert 和 GlobalSign 直接就跪了，这几乎影响了所有 SSL 证书厂商。
所有使用 SSL 证书的公司，都会被这个影响（个体解决倒是也简单，如果是面对几百几千几万的 API 客户，那量级就不一样了）。

统计了下，JDK6-7,8<8u91 默认都没内置 DigiCert Global Root G2 ，
RHEL/CentOS<6.7 、<7.2 默认都没内置 DigiCert Global Root G2 ，
Ubuntu Server<14.04.3 默认都没内置 DigiCert Global Root G2

Debian 7.x 默认都没内置 DigiCert Global Root G2

https://help.aliyun.com/zh/ssl-certificate/product-overview/announcement-on-digicert-root-replacement
阿里云公告，G1 交叉签名了 G2 ，是好消息。
已经有不少网站的公钥配置了 G1 交叉签名 G2 的证书。