Apple的3/29/21 HTTP/2证书更改需要哪些根CA证书?
基础概念
HTTP/2 是一种用于 Web 传输的协议,旨在提高性能并减少延迟。它支持多路复用、头部压缩和服务器推送等功能。为了确保通信的安全性,HTTP/2 通常使用 TLS(传输层安全)协议进行加密,而 TLS 证书则是由受信任的证书颁发机构(CA)签发的。
相关优势
- 性能提升:HTTP/2 的多路复用特性允许在单个连接上同时传输多个请求和响应,减少了延迟。
- 头部压缩:减少了 HTTP 头部的大小,进一步提高了传输效率。
- 服务器推送:服务器可以主动推送资源,减少了客户端的请求次数。
类型
HTTP/2 证书通常分为以下几种类型:
- DV(域名验证)证书:最基本的证书类型,仅验证域名的所有权。
- OV(组织验证)证书:除了验证域名所有权外,还验证组织的身份。
- EV(扩展验证)证书:提供最高级别的验证,显示组织名称和地址等信息。
应用场景
HTTP/2 证书广泛应用于需要安全通信的 Web 应用,包括但不限于:
- 电子商务网站
- 银行和金融应用
- 政府和公共部门网站
- 企业内部应用
问题分析
Apple 在 2021 年 3 月 29 日对 HTTP/2 证书进行了更改,要求使用特定的根 CA 证书。这是因为 Apple 对其生态系统的安全性有严格的要求,确保所有使用的证书都是可信的。
根 CA 证书
Apple 要求的根 CA 证书通常包括以下几种:
- ISRG Root X1:由 Internet Security Research Group (ISRG) 颁发。
- DigiCert Global Root G2:由 DigiCert 颁发。
- Entrust Root Certification Authority - EC1:由 Entrust 颁发。
- GlobalSign Root CA - R2:由 GlobalSign 颁发。
- GeoTrust Global CA:由 GeoTrust 颁发。
解决方法
如果你遇到证书问题,可以按照以下步骤解决:
- 检查证书链:确保你的证书链是完整的,并且包含上述根 CA 证书之一。
- 更新证书:如果证书过期或不合规,需要重新申请并安装新的证书。
- 配置服务器:确保你的服务器配置正确,支持 HTTP/2 和 TLS 1.2 或更高版本。
示例代码
以下是一个简单的 Nginx 配置示例,展示如何启用 HTTP/2 并配置 TLS 证书:
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers on;
location / {
root /var/www/html;
index index.html index.htm;
}
}参考链接
通过以上步骤和配置,你应该能够解决 Apple 对 HTTP/2 证书更改带来的问题。
相关·内容
我翻了翻,发现了几个相关的问题,主要是关于Azure或Firebase,然而,也有一些用户(我自己就是其中之一)直接向Apple发送HTTP/2推送通知数据。我们是否需要安装所有三个根CA,还是只需要AAACertificateServices 5/12/2020 在2/10/21,我们收到了以下电子邮件: 2021年3月29日,到
浏览 50提问于2021-02-16得票数 2
回答已采纳
1回答
苹果推送服务服务器证书更新
、、、、
2021年3月29日,与苹果推送通知服务的基于令牌和证书的HTTP/2连接必须包含新的根证书(AAACertificateServices 5/12/2020),以取代旧的GeoTrust全球CA根证书为了确保无缝转换并避免推送通知传递失败,请在3月29日前验证HTTP</
浏览 1提问于2021-02-11得票数 22
回答已采纳
1回答
基于APN的防火墙云消息传递
、、、、
今天我们收到了一封来自苹果的电子邮件:2021年3月29日,与苹果推送通知服务的基于令牌和证书的HTTP/2连接必须包含新的根证书(AAACertificateServices 5/12/2020),该证书取代了旧的GeoTrust全球CA根证书。
浏览 4提问于2021-02-11得票数 1
回答已采纳
1回答
安装APNS的根证书
、、、
我们收到苹果公司关于CA证书的通知,旧的GeoTrust全球CA根证书将被AAACertificateServices 5/12/2020所取代。“2021年3月29日,与苹果推送通知服务的基于令牌和证书的HTTP/2连接必须包含新的根证书(AAACertific
浏览 1提问于2021-02-11得票数 3
“2021年3月29日,到苹果推送通知服务的基于令牌和基于证书的HTTP/2连接必须包含新的根证书(AAACertificateServices 5/12/2020),该证书取代了旧的GeoTrust全球CA根证书。为了确保无缝转换和避免推送通知传递失败,请在3月29</e
浏览 4提问于2021-02-12得票数 17
回答已采纳
1回答
我检查了我的.pem文件是否有效,直到2021年12月,当我运行下面的代码时,结果是‘消息成功传递’。我不知道发生了什么。请帮帮我。 /* $fp = stream_socket_client( $fp = stream_so
浏览 5提问于2021-04-28得票数 2
回答已采纳
苹果说:
2021年3月29日,与苹果推送通知服务的基于令牌和证书的HTTP/2连接必须包含新的根证书(AAACertificateServices 5/12/2020),以取代旧的GeoTrust全球CA根证书。为了确保无缝转换并避免推送通知传递失败,请在3月29日前验证
浏览 1提问于2021-02-17得票数 2
1回答
我有Apple Root CA - G3根证书,并且我需要验证信任链。我需要验证叶证书是否是由子CA证书签名的。
我怎样才能用Java做到这一点?
浏览 27提问于2017-02-17得票数 1
回答已采纳
随着时间的推移,我已经在Windows信任存储中安装了几个额外的可信CA证书,有时是因为应用程序催促我这么做,另一些时候是出于开发和测试的原因。是否有任何命令来恢复默认(或当前MS推荐的)可信CA证书并删除任何其他条目?
浏览 0提问于2014-10-22得票数 23
回答已采纳
这个线程中的OP:为什么EAP客户端需要CA证书?他说:“我的RADIUS服务器使用wifi- server -cert作为SSL证书,并使用wifi- client -ca证书颁发机构来验证客户端证书。”谁能告诉我:[2]如果是,它是
浏览 0提问于2016-10-10得票数 2
1回答
我只是在一台服务器上为slapd设置了TLS,使用了一个简单的PKI,如下所示:为了从客户端使用TLS连接ldap服务器,我像我找到的许多教程一样,向受信任的证书添加了根CA证书和ldap证书。然而,为什么不需要中级CA证书呢?它需
浏览 0提问于2018-07-24得票数 2
回答已采纳
我对证书颁发机构生态系统是如何工作的有基本的了解。我知道,当我连接到一个站点时,当他们向我提供一个证书时,我的计算机将根据本地存储的可信当局验证证书的签名。而且我可以跟踪我的计算机信任的权限链,验证每个证书,直到我到达我最信任的CA之一。有没有办法,在CA生态系统之外,我可以验证我的顶级CA是正确的</
浏览 0提问于2019-10-01得票数 5
回答已采纳
3回答
问题:小牛不接受我的Code Signing Failure: code signature is invalid签名(但是加载了kext),约塞米蒂甚至不会加载它。
我有自己的CA和代码签名证书。我已经成功地对代码进行了签名,并设置了允许安装和执行由给定证书签名的代码的策略-- 和都喜欢它,正如您在下面的输出中看到的那样。然而,这似乎不适用于kext (内核扩展)- 坚持认为签名无效。我注意到和中的证书必须具有以下
浏览 2提问于2014-11-09得票数 6
1回答
我们有一个将数据上传到AWS S3端点的IoT设备。要启用TLS (安全HTTPS传输),需要向IoT设备SD卡添加S3端点证书。如果我们在浏览器中添加网址(https://s3.amazonaws.com/bucketname),单击锁定图标并导出SD卡的根CA证书,就可以很好地工作。然而,亚马逊可能会在没有通知的情况下决定随着时间的推移而改变这一点
浏览 57提问于2019-12-29得票数 3
回答已采纳
我有一个带有Kestrel的ASP.NETCore 6应用程序,它需要客户端应用程序和服务器之间的mTLS。我使用powershell中的为客户端创建了自签名根证书和子证书。以下是客户端看到的错误:* TLSv1.2 (IN), TLS alert, unknown CA (560):
*OpenSSL SSL_read: erro
浏览 11提问于2022-12-01得票数 0
回答已采纳
2回答
有没有人有一个方便的脚本来生成SSL证书,以便它生成CA证书和服务器证书。更重要的是,创建它的方式使我可以将CA证书导入到(我的windows系统的)受信任根列表中,这样浏览器就不会将该站点标记为不受信任。
我使用了以下脚本,但我无法说服我的浏览器信任该证书。我非常感谢这里的任何帮助。# Generate a private k
浏览 1提问于2013-06-05得票数 5
1回答
我创建了一个私有根CA并为一些https网站颁发了一些SSL证书,
(我不确定这是否应该称为自签名证书,在我的例子中,根ca证书是自签名的,但是从根CA发出的网站的SSL证书不是自签名的。我将指定一些证书扩展来告诉浏览器在哪里找到根CA证书,不确定是否还有其
浏览 0提问于2021-02-10得票数 0
3回答
未获承认的叶证明书
、、、
每隔15分钟左右,我就在我的system.log中收到这条消息现在我已经大致弄明白了什么是:但这意味着什么呢?我的<
浏览 0提问于2014-04-25得票数 1
回答已采纳
2回答
我正在开发一个使用CAS (单点登录解决方案:)认证的web应用程序。
OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3
浏览 4提问于2010-04-30得票数 1
1回答
验证证书链(ecdsa)
、、、
我需要验证证书链,而我只有证书,这是可能的吗?BDowODA2oDSgMoYwaHR0cDovL2NybC11YXQuY29ycC5hcHBsZS5jb20vYXBwbGV3
d2RyY2FlY2MuY3JsMA4GA1UdDwEB/wQEAwIDKDASBgkqhkiG92NkBicBAf8EAgUAA1UdHwQ+MDwwOqA4oDaGNGh0dHA6Ly9jcmw
浏览 28提问于2019-10-03得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
