本周蓝点网提到微软在毫无预警的情况下调用多个有效期长达 30 年的根证书 (ROOT CA)，要知道根证书是目前计算机世界的信任基石之一，一旦根证书被无计划吊销 / 不信任，将对大量软件和网站产生影响。

例如微软在 8 月 24 日不信任三份根证书，导致国内外多款商业软件无法使用，为什么无法使用呢？因为这些软件使用被不信任的这些 ROOT CA 签发的中级证书和子证书，也就是一旦根证书被不信任，其签发的所有中级证书和子证书全部被不信任。

被吊销的根证书包括：

Class 3 Public Primary Certification Authority - 颁发日期 1996 年 1 月 29 日，有效期至 2028 年 8 月 2 日，吊销时间：2023 年 8 月 23 日

Thawte Primary Root CA - 颁发日期 2006 年 11 月 17 日，有效期至 2036 年 7 月 17 日，吊销时间：2023 年 8 月 23 日 [已恢复]

VeriSign Class 3 Public Primary Certification Authority - G5 颁发日期 2006 年 11 月 8 日，有效期至 2036 年 7 月 17 日，吊销时间：2023 年 8 月 23 日 [已恢复]

在微软毫无预警的情况下不信任这些根证书后，今天微软又在毫无提醒的情况下恢复信任了这些证书，估计这两天使用上述 ROOT CA 签发的代码签名证书的开发者想把微软扬了。

事情经过：

前因后果具体可以看蓝点网之前的报道：微软吊销多个根证书 (ROOT CA) 导致国内外不少商业软件无法使用

大致说下情况：被吊销的这些证书曾经都是赛门铁克旗下的，多年前赛门铁克被发现错误为 www.google.com 签发证书，这被谷歌发现，这对谷歌来说是相当严重的安全问题，于是谷歌调查赛门铁克的 CA 基础设施，发现赛门铁克管理混乱，错误签发了巨量的数字证书，而赛门铁克拒不承认、不改正，最终谷歌宣布通过 Chrome 直接不信任赛门铁克证书。

后来赛门铁克把证书业务卖给了 DigiCert，上面这些 ROOT CA 现在都属于 DigiCert，也是原计划在 2019~2021 年要被彻底不信任的证书。

但不知道什么原因微软一直没有设置不信任，也就是说在没有保证的情况下，一大堆商业软件开发商继续用着这个证书，微软也继续信任，直到本周突然设置了不信任。

最让人难以理解的是对于这三份根证书被设置不信任，相关方全部三缄其口，DigiCert 知道被不信任了没有发公告，微软设置不信任前、后、直到现在也同样没有发布任何公告。

然后突然又恢复信任了：

我是没想到 CA 行业已经沦落到这种地步了，微软今天突然又恢复了三份证书中的两份，包括 Thawte Primary Root CA 和 VeriSign Class 3 Public Primary Certification Authority -G5，对于突然恢复的原因，微软同样没有发布任何说明。

但外媒 Arstechica 联系上了微软，微软先来了一句可以解释下但在文章中不能说这是微软的说法，这被 Ars 直接拒绝，随后文章发布。

文章发布后微软又联系上了 Ars 提供以下说明：

G5 证书子 2019 年起不再受信任，并在之前版本中被设置了 NotBefore，这意味着在设置的 NotBefore 之后签发的证书不再受信任。但是在 NotBefore 之前颁发的证书将继续受信任 (蓝点网注：这也是为什么还有大量商业软件使用 G5 证书的原因，因为在 2019 年前签发的证书 8 月 24 日之前都是能用的)。

在 8 月份的证书信任列表更新中，我们将此设置修改为禁用，作为常规弃用的流程的一部分，这导致某些具有特定配置的客户遇到问题，为此我们在 2023 年 8 月 24 日 (时差缘故国内是 8 月 25 日，但证书列表刷新到全球最长可能要 48 小时) 回滚了这次修改，暂时恢复了这些证书的信任。

蓝点网补充：和 DigiCert 一样，微软甚至都没提被封然后又恢复的 Thawte Primary Root CA，我发现这票公司都是你问什么他答什么，绝对不多说一句。

蓝点网帮微软总结下：

我就是要停掉这些证书，我也没有发公告，我也懒得发公告，要不是被你们发现出现问题我也不准备回滚，等问题解决了我还要继续禁用。至于为什么不发公告。无可奉告。