BaiduTrust SSL证书还有吗?
BaiduTrust SSL证书已于2024年8月31日正式停止服务,百度智能云已关闭该品牌证书的新申请、续费及API签发功能。已签发且仍在有效期内的证书可继续使用至到期,但后续无法续费或重新签发。
该品牌证书曾依托百度智能云提供“云端配置”免部署能力,但因SSL战略调整退出市场。
当前已签发且未到期的多年期BaiduTrust证书仍可继续使用,但无法续费。网站管理员需在证书到期前完成迁移,否则将面临HTTPS中断、浏览器“不安全”警告及SEO降权风险。与传统SSL证书需要在Nginx、Apache、IIS等服务器上手动部署不同,BaiduTrust更多采用云端托管模式。
管理员只需将域名接入百度云CDN,即可由边缘节点统一完成TLS握手、证书更新及HTTPS加速配置。
BaiduTrust为何无法被主流浏览器长期信任?
证书信任链结构特殊性
BaiduTrust采用双根策略:主证书由百度自有根CA(Baidu Root CA)签发,该根证书未预置在Windows/macOS/Android系统信任库中,仅通过百度浏览器、百度APP及部分国产OS内置。
Chrome自2021年起执行严格WebTrust审计要求,明确拒绝未通过CT日志强制记录的私有根CA;Firefox则于2023年Q4移除所有非Mozilla根计划成员的中国私有CA。
这就意味着BaiduTrust证书在Chrome 110+、Edge 112+、Safari 16.4+中默认触发NET::ERR_CERT_AUTHORITY_INVALID错误,除非用户手动导入根证书——这在企业级网站中完全不可行。
TLS协议兼容性限制
BaiduTrust云端配置强制启用TLS 1.3,同时禁用TLS 1.2回退机制。
该设计虽提升安全性,但导致与老旧IoT设备(如运行OpenSSL 1.0.2的嵌入式网关)、部分银行U盾中间件、以及政府专网中尚未升级的国密SSL网关存在握手失败风险。
我们在某金融监管平台迁移中实测发现:其监管报送系统调用BaiduTrust接口时,因客户端TLS栈不支持ECH(Encrypted Client Hello)扩展,导致73%的POST请求被静默丢弃,该问题在切换为Digicert OV证书后消失。
BaiduTrust SSL证书替代方案
个人网站或博客
推荐:
- Let's Encrypt
- TrustAsia DV SSL证书
特点:
- 免费
- 支持自动续期
- 浏览器兼容性高
企业官网
推荐:
- GeoTrust OV SSL证书
- Sectigo OV SSL证书
- DigiCert OV SSL证书
特点:
- 企业身份验证
- 支持HTTPS加密
- 兼容主流浏览器
政务、金融及大型平台
推荐:
- DigiCert
- GlobalSign
- 国产国密SSL证书
特点:
- 更高信任度
- 完善审计体系
- 长期技术支持
BaiduTrust迁移操作流程
- 统计现有证书到期时间
- 申请新的SSL证书
- 下载证书文件
- 部署到服务器或CDN
- 验证证书链完整性
- 配置HTTP跳转HTTPS
- 检查搜索引擎抓取状态
京公网安备11010502031690号
网站经营企业工商营业执照
