对托管 TLS 功能的更改

Microsoft Azure 提供了与多个Microsoft服务集成的综合性托管 TLS 解决方案。 此功能包括 DigiCert 提供的客户虚域的托管 TLS 服务器证书。

由于行业合规性标准、安全要求和 PKI 生命周期的不断变化，此产品/服务将在 2025 年和 2026 年进行多项重大更新，这将影响客户使用此功能。

PKI 更新

从 2025 年底开始，Azure 开始更新其托管 TLS 解决方案，以满足即将推出的浏览器要求。 这些更改会影响为以下 Azure 服务颁发的所有托管 TLS 证书：

• Azure Front Door （AFD） 和 CDN 经典版
• Azure Front Door 标准版/高级版 SKU
• Azure API 管理
• Azure App 服务
• Azure 容器应用
• Azure Static Web Apps

重要更改

此更新包括两项关键更改：

• 新的根证书颁发机构和从属证书颁发机构（CA）：

  • 所有托管 TLS 证书都将从 DigiCert 全局根 CA 下的证书颁发机构（CA）迁移到 DigiCert 全局根 G2 和 DigiCert 全局根 G3 下的 CA。 此转换可确保符合浏览器受信任的根程序要求。

• 删除客户端身份验证 EKU

  • 这些新的 CA 将不支持根据浏览器受信任的根程序要求进行客户端身份验证。 新 CA 下的所有托管 TLS 证书将仅包括服务器身份验证扩展密钥用法（EKU）。

潜在客户影响

若要为更改做好准备，请务必了解这些更改如何影响客户。

• 证书锁定

  • 如果固定了证书或公钥，则必须更新固定集以包含新的根证书和中间证书。
  • 由于操作风险，强烈不建议静态固定。

• 客户端身份验证

  • 如果应用程序依赖于公共证书中的客户端身份验证 EKU，则必须更新配置以使用来自其他 CA 的证书。
  • 托管 TLS 证书仅支持服务器身份验证 EKU。

域验证

从 2025 年底开始，DigiCert 正在过渡到新的开源软件（OSS）域控制验证（DCV）平台，旨在增强域验证过程中的透明度和问责制。 DigiCert 将不再支持在指定的 Azure 服务中对域控制验证的旧 CNAME 委派 DCV 工作流。

因此，这些 Azure 服务将引入增强的域控制验证过程，旨在显著加快域验证并解决用户体验中的关键漏洞。

此更改不会影响 DigiCert 客户的标准 CNAME DCV 过程，其中验证使用 CNAME 记录中的随机值。 只有此一个工作流用于验证以前由Microsoft使用的工作流即将停用。

常见问题

问：是否将停用对自定义域的支持？

否。 此功能非常受支持，实际上正在接收几个关键更新，这些更新可改善整体用户体验。

问：什么是域控制验证？

域控制验证（DCV）是一个关键过程，用于验证请求 TLS/SSL 证书的实体是否对证书中列出的域具有合法控制权。

问：DigiCert 是否停用 CNAME 域控制验证？

否。 仅停用 Azure 服务特有的此特定 CNAME 验证方法。 DigiCert 客户使用的 CNAME DCV 方法，例如 DigiCert OV/EV 证书 和 DV 证书 所述的方法不会受到影响。

只有 Azure 才会受到此更改的影响。

问：为什么Microsoft迁移到 DigiCert 全局根 G2 和 G3 根？

此更改符合行业标准和即将推出的浏览器要求。 2026 年 4 月 15 日，Mozilla 和 Chrome 将不信任 DigiCert 全局根 CA。 为了保持信任，所有托管 TLS 证书都将在此日期之前迁移到 DigiCert 全局根 G2 和 DigiCert 全局根 G3 。 有关详细信息，请参阅 DigiCert 根证书和中间 CA 证书更新 2023。

问：为什么删除客户端身份验证 EKU？

这是由 Chrome 受信任的根计划推动的行业范围的变革。 Chrome 将 TLS 证书限制为服务器身份验证，以提高安全性和合规性。 有关详细信息，请参阅 从 DigiCert 公共 TLS 证书停用客户端身份验证 EKU。