会阻断...
ip 都会受到影响, 会被阻断几分钟,
可以用api换成let's的
用api把cloudflare的证书换成自家一年的
https://hostloc.com/thread-1183518-1-1.html
从 cf 开始用谷歌证书开始的

另外部分地区电信 cf 443 无法访问的

我去。这什么，个情况？赶紧联系供应商客服。果然，Sectigo SSL证书大面积被吊销。

尊敬的客户：
我们非常抱歉地通知您，在最近三个月中，由于 CA 签发系统产生合规性 BUG。致使您通过我们购买的证书被吊销了。这一故障的影响范围较大，导致了中国市场中一大批的 Sectigo 证书都受到牵连而被全部吊销。本次影响的时间为（6.10 ～9.12）之间签发的证书，其它不受影响。
我们已经紧急协调处理，会立即为您进行证书的补签工作。
给您带来的不便，我们深表歉意，我们会全力以赴解决问题，请您放心。

好在客服马上给重新签发了一个证书。更换完证书网站就恢复正常了。

Google Chrome最近宣布不信任entrust公共TLS/SSL证书，这给依赖这些证书的组织带来了重大挑战。这一发展将于2024年10月31日生效，可能会给您的客户带来广泛的中断，可能会影响他们的网站功能和整体业务运营。

2018年，当赛门铁克证书不受信任时，DigiCert成功地引导了数千名客户解决了类似的问题。现在，我们在这里支持您和您的客户应对这一新的挑战。

我们邀请您参加于美国东部时间9月4日中午12点至下午1点举行的特别合作伙伴网络研讨会，专家将讨论:

entrust不信任的细节及其对客户的影响。
合作伙伴在此过渡期间协助客户的策略。
专家建议和回答您的紧迫问题。

即将到来的量子计算揭示了密码学专家的预言:加密无处不在。几乎所有实现现代安全实践的东西都依赖于加密和公钥基础设施(PKI)来实现数字信任。

为什么通用加密如此重要?答案是:与加密相关的量子计算机(CRQC)，它足够强大，可以破解传统的非对称算法，如RSA和ECC。

但这是后量子加密(PQC)可以解决的威胁，NIST于2023年8月发布了PQC标准的第一稿，使世界离量子安全的未来又近了一步。

采用PQC意味着组织必须通过创建加密资产列表来识别其数字足迹。美国联邦政府机构首先启动了这项工作，根据要求，这些机构必须在2023年5月之前提交他们最重要的加密系统清单。然而，很多机构发现很难在这个截止日期之前完成工作，所以直到12月，整个政府机构的非对称加密清单才最终完成。

联邦政府提出的挑战凸显了创建加密资产清单的复杂性，特别是当一些组织拥有他们甚至可能不知道的资产时。我们将这一过程分为四个步骤，以帮助您开始规划这一过渡。

开始过渡到PQC的4个步骤
DigiCert与波耐蒙研究所合作进行了一项调查和研究，以了解世界对量子计算的准备情况。在这项调查中，我们了解到大多数IT领导者都担心他们的公司还远远没有准备好。如果您的组织也处理加密资产，并且尚未开始向PQC过渡，则可以参考以下信息，了解如何开始过渡。

1. 计算您的加密资产
   第一步是开始计算证书、算法和其他加密资产，并根据它们的重要性对它们进行优先级排序。基于此，您可以确定需要升级或替换的内容，以确保在量子计算成为现实时贵公司的系统保持安全。

在整个计算过程中，你需要回答几个重要的问题:

您的证书目前使用的是什么算法?
谁颁发的证书?
证书什么时候到期?
哪些域名受证书保护?
什么密钥用于为您的软件签名?
进行彻底的盘点并不仅限于此。您还需要回答以下问题:

您的软件包或设备是否自动下载更新?
它是否连接到后端服务器?
它是否与网站或门户网站相关联?
该网站或门户是否由第三方或云提供商运营?
如果答案是肯定的，那么您需要联系每个提供者以了解他们依赖谁——了解您的提供者使用哪些软件包，了解提供者的后端提供者是谁，等等。

正如我们所说，这是一个复杂的过程。但这也是我们现在需要采取行动的原因——而不是在量子计算开始暴露(并利用)贵公司的漏洞之后。

2. 优先考虑需要长期信任的加密
   要替换的第一个加密算法是能够生成需要长期信任的签名的加密算法。想想长期使用的设备的信任根和固件。是的，这意味着要对软件、设备及其加密进行详细的盘点。

为什么?攻击者正在打一场持久战，他们采用“先窃取，后解密”的攻击策略，记录加密数据是他们的任务之一。将来，当网络犯罪分子能够获得量子计算时，他们将解密这些数据——保护您免受此类攻击的唯一可靠方法是优先考虑您的公司将长期依赖的任何加密方法。

3. 探索和测试在贵公司采用PQC算法的方法
   NIST仍在努力标准化和记录安全实现、测试和部署新的加密安全算法的方法。但密码库和安全软件的运营商现在需要开始将算法集成到他们的产品中。适应所选的PQC算法需要一些努力，因此您的公司可以通过探索如何将其合并到您的加密库中来保持领先地位。
4. 实现加密灵活性
   完成上述步骤并非易事。然而，当量子计算开始破解算法时，现在计算你公司的加密资产将带来回报——尽管我们不知道这何时会发生，但我们知道这只是时间问题，而不是是否会发生。

盘点完成后，PQC转换的下一阶段是实现加密敏捷性，这涉及到资产可见性，为d建立方法

普通互联网用户可能没有意识到，为了保护数字世界的安全，需要在幕后做多少工作。但是，由证书颁发机构(ca)颁发的数字证书使可信的网站、电子邮件、服务器和软件可信。证书颁发机构/浏览器(CA/B)论坛和其他标准设置组织认为这些CA值得信赖。

有时，由于人为错误或代码中的错误，颁发的证书不能满足根存储操作符的严格遵从性要求。当出现这种情况时，CA应该如实报告相关情况，撤销证书，并帮助社区从中吸取教训。

但正如我们在Google Chrome不信任委托事件中看到的那样，未能及时减轻损害可能会对CA及其客户产生严重后果。

为什么谷歌不信任委托?
2024年6月，谷歌的Chrome安全团队宣布，在2024年10月31日之后，它将不再信任委托颁发的TLS证书。几个月前，委托公司承认错误颁发了26000多个EV TLS证书。

CA/B论坛的基线要求规定，错误颁发的证书的撤销期非常短，根据问题的性质，可能是24小时，也可能是5天。CA通常可以在对企业影响最小的情况下解决问题，但委托没有采取任何行动来撤销或替换受影响的证书。

不作为对企业的影响可能是服务中断、CA状态不确定以及客户信任的丧失。对于像委托这样无法撤销和替换错误颁发的证书的CA，这可能意味着web浏览器将停止信任CA，就像谷歌在2024年所做的那样。