共用方式為

受控 TLS 功能的變更

Microsoft Azure 提供一套整合多項 Microsoft 服務的完整管理式 TLS 解決方案。 這項功能包括 DigiCert 所提供的客戶虛名網域受控 TLS 伺服器憑證。

由於產業合規標準、安全要求及PKI生命週期的演進,此服務將於2025及2026年進行多項重大更新,影響使用此功能的客戶。

PKI 更新

自 2025 年底起,Azure 開始更新其託管 TLS 解決方案,以配合即將到來的瀏覽器需求。 這些變更影響所有為以下 Azure 服務所發行的託管 TLS 憑證:

  • Azure Front Door (AFD) 與 CDN Classic
  • Azure Front Door Standard(標準)/Premium(高級) SKU
  • Azure API 管理
  • Azure App Service
  • Azure 容器應用程式
  • Azure Static Web Apps

關鍵變更

這次更新包含兩項重要變更:

  • 新的根與下屬憑證授權 (CA)

    • 所有受管理的 TLS 憑證將從 DigiCert Global Root CA 下的憑證授權中心(CA)遷移至 DigiCert Global Root G2DigiCert Global Root G3 下的 CA。 此轉換確保符合瀏覽器可信根程式的要求。

  • 移除用戶端認證 EKU

    • 這些新憑證授權機構將不支援符合瀏覽器受信任根程式要求的客戶端認證。 所有新 CA 下的託管 TLS 憑證將僅包含伺服器認證擴展金鑰使用(EKU)。

潛在客戶影響

為了準備這項變革,了解這些變動可能如何影響顧客非常重要。

  • 憑證鎖定

    • 如果您鎖定憑證或公鑰,必須更新鎖定集合以包含新的根與中介憑證。
    • 由於操作風險,強烈不建議使用靜態固定。

  • 用戶端驗證

    • 如果你的應用程式依賴公開憑證中的客戶端認證 EKU,你必須更新設定以使用其他憑證。
    • 受管理的 TLS 憑證只會支援伺服器認證 EKU。

網域驗證

自 2025 年底起,DigiCert 將轉型至一個新的開源軟體(OSS)領域控制驗證(DCV)平台,旨在提升領域驗證流程的透明度與問責性。 DigiCert 將不再支援舊版 CNAME 委派 DCV 工作流程,以在指定的 Azure 服務中驗證網域控制。

因此,這些 Azure 服務將引進增強的網域控制驗證程式,旨在大幅加速網域驗證,並解決用戶體驗中的重要弱點。

這項變更不會影響 DigiCert 客戶的標準 CNAME DCV 程式,其中驗證會使用 CNAME 記錄中的隨機值。 僅由Microsoft使用過的一個驗證工作流程即將淘汰。

警告

未更新組態以符合受控 TLS 變更的客戶,若未更新組態將會發生服務中斷。

  • 當目前憑證到期時,必然會發生服務中斷。
  • 若憑證被撤銷,可能會發生服務中斷。

在撤銷事件中,憑證必須在 24 小時內撤銷,依據 CA/Browser Forum 基準要求,留給回應的時間非常有限。 客戶應立即更新組態以避免服務中斷。

常見問題

問:自訂網域的支援是否即將停止?

否。 這項功能非常受支持,事實上正收到數個可改善整體用戶體驗的重要更新。

備註

AFD 經典版和 CDN Classic 的 SKU 正走向淘汰,將停止新增自訂網域的支援。 如需詳細資訊,請參閱 Azure Front Door (傳統) 和 Azure CDN from Microsoft 傳統 SKU 在 2025 年 8 月 15 日前結束 CNAME 型網域驗證和新的網域/設定檔建立。 建議客戶使用管理型 TLS 憑證,搭配 AFD Standard 及 Premium SKU,以建立新的自訂網域。

問:什麼是網域控制驗證?

網域控制驗證(Domain Control Validation,簡稱 DCV)是一個關鍵流程,用來驗證請求 TLS/SSL 憑證的實體是否對憑證中列出的網域擁有合法控制權。

問:DigiCert 是否會終止 CNAME 網域控制驗證?

否。 只有 Azure 服務特有的這個特定 CNAME 驗證方法即將淘汰。 DigiCert 客戶所使用的 CNAME DCV 方法,例如 DigiCert OV/EV 憑證DV 憑證 所述的方法不會受到影響。

只有 Azure 會受到這項變更的影響。

問:為何 Microsoft 要遷移到 DigiCert Global Root G2 與 G3 根?

此變更符合產業標準及即將到來的瀏覽器需求。 2026 年 4 月 15 日,Mozilla 和 Chrome 將不信任 DigiCert Global Root CA。 為維持信任,所有受管理的TLS憑證將在此日期前轉移至 DigiCert Global Root G2DigiCert Global Root G3 。 欲了解更多資訊,請參閱 DigiCert 根證書及中介 CA 證書更新 2023

問:為什麼客戶端認證 EKU 要被移除?

這是由 Chrome 可信根計畫推動的產業性變革。 Chrome 將 TLS 憑證限制在伺服器認證中,以提升安全性與合規性。 欲了解更多資訊,請參閱 DigiCert 公開 TLS 憑證中終止用戶端認證 EKU

  • Last updated on