2025 年 8 月 Microsoft 受信任根程式部署通知

2025 年 8 月 27 日星期四，Microsoft 發行了 Microsoft 信任根憑證計畫的更新。 NotBefore 日期設定為 2025 年 9 月 15 日。 這表示只有在此日期之後簽發的憑證才會被不信任。

此版本將完全 NotBefore 下列根目錄 （CA \ 根憑證 \ SHA-1 指紋）：

• Certicámara \ AC Raíz Certicámara S.A. \ 5463283B6793FF55277CEDE39098E80422F912F7
• Echoworx \ Echoworx 根 CA2 \ CB658264EA8CDA186E1752FB52C397367EA387BE
• e-tugra \ e-tugra 全域根目錄 CA RSA v3 \ E9A85D2214521C5BAA0AB4BE246A238AC9BAE2A9
• e-tugra \ e-tugra 全域根 CA ECC v3 \ 8A2FAF5753B1B0E6A104EC5B6A69716DF61CE284
• 韓國政府，KLID \ GPKIRootCA1 \ 7612ED9E49B365B4DAD3120C01E603748DAE8CF0
• HARICA \ 希臘學術和研究機構 RootCA 2015 \ 010C0695A6981914FFBF5FC6B0B695EA29E912A6
• HARICA \ 希臘學術和研究機構 RootCA 2011 \ FE45659B79035B98A161B5512EACDA580948224D
• HARICA \ 希臘學術和研究機構 ECC RootCA 2015 \ 9FF1718D92D59AF37D7497B4BC6F84680BBAB666
• NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. \ Főtanúsítványkiadó - Kormányzati hitelesítés szolgáltató \ FFB7E08F66E1D0C2582F0245C4970292A46E8803

此版本將在以下根目錄 （CA \ 根證書 \ SHA-1 指紋） 上進行 NotBefore 代碼簽名：

• GoDaddy \ Go Daddy 根證書頒發機構 - G2 \ 47BEABC922EAE80E78783462A79F45C254FDE68B
• GoDaddy \ Starfield 根憑證授權單位 - G2 \ B51C067CEE2B0C3DF855AB2D92F4FE39D4E70F0E
• GoDaddy \ godaddy_GD-Class2-root \ 2796BAE63F1801E277261BA0D77770028F20EEE4
• GoDaddy \ godaddy_SF-Class2-root \ AD7E1C28B064EF8F6003402014C3D0E3370EB58A
• SecureTrust \ SecureTrust CA \ 8782C6C304353BCFD29692D2593E7D44D934FF11
• SecureTrust \ Trustwave 全球證書頒發機構 \ 2F8F364FE1589744215987A52A9AD06995267FB5
• SecureTrust \ Trustwave 全球 ECC P256 憑證授權單位 \ B49082DD450CBE8B5BB166D3E2A40826CDED42CF
• SecureTrust \ Trustwave 全球 ECC P384 證書頒發機構 \ E7F3A3C8CF6FC3042E6D0E6732C59E68950D5ED2

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） NotBefore SMIME：

• 購買通行證 \ 購買通行證 3 類根 CA \ DAFAF7FA6684EC068F1450BDC7C281A5BCA96457
• 購買通行證 \ 購買通行證 2 類根 CA \ 490A7574DE870A47FE58EEF6C76BEBC60B124099
• certSIGN \ certSIGN_root \ FAB7EE36972662FB2DB02AF6BF03FDE87C4B2F9B
• certSIGN \ CERTSIGNSA_certSIGNROOTCAG226F9 \ 26F993B4ED3D2827B0B94BA7E9151DA38D92E532
• 德國電信安全有限公司 \ T-TeleSec GlobalRoot Class 3 \ 55A6723ECBF2ECCDC3237470199D2ABE11E381D1
• D-TRUST \ D-TRUST 根類別 3 CA 2 2009 \ 58E8ABB0361533FB80F79B1B6D29D3FF8D5F00F0
• D-TRUST \ 根類別 3 CA 2 EV 2009 \ 96C91B0B95B4109842FAD0D82279FE60FAB91683
• EDICOM \ CAEDICOM 根 \ 559BBA7B0FFE80D6D3829B1FD07AA4D322194790
• 芬蘭政府，人口登記中心 （Väestörekisterikeskus， VRK） \ VRK Gov. 根 CA - G2 \ F435F85F0108DA684E7BFD517C90C627BB9A6CF5
• 西班牙政府，Autoritat de Certificació de la Comunitat Valenciana （ACCV） \ ACCVRAIZ1 \ 93057A8815C64FCE882FFA9116522878BC536417
• LAWtrust \ LAWtrust 根憑證授權單位 2048 \ 335A7FF00927CF2DF278E2C9192F7A4D5534F80C
• 郵電局 \ eSignTrust根核證機關（G03） \ 9D319381546EA6A12811E09CF90A20C840BE944D
• MULTICERT \ MULTICERT 根憑證授權單位 01 \ 46AF7A31B599460D469D6041145B13651DF9170A
• 世康信託系統有限公司 \ 安全通訊 RootCA3 \ C303C8227492E561A29C5F79912B1E441391303A
• 世康信託系統有限公司 \ 安全通訊 ECC RootCA1 \ B80E26A9BFD2B23BC0EF46C9BAC7BBF61D0D4141
• SSL.com \ EV 根憑證授權單位 ECC \ 4CDD51A3D1F5203214B0C6C532230391C746426D
• SSL.com \ EV 根憑證授權單位 RSA R2 \ 743AF0529BD032A0F44A83CDD4BAA97B7C2EC49A
• První certifikační autorita， a.s. \ I.CA Root CA/RSA \ 9B0959898154081BF6A90E9B9E58A4690C9BA104

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 進行 NotBefore 時間戳記：

• D-TRUST \ D-TRUST 根類別 3 CA 2 2009 \ 58E8ABB0361533FB80F79B1B6D29D3FF8D5F00F0
• D-TRUST \ D-TRUST 根類別 3 CA 2 EV 2009 \ 96C91B0B95B4109842FAD0D82279FE60FAB91683
• 世康信託系統有限公司 \ 安全通訊 ECC RootCA1 \ B80E26A9BFD2B23BC0EF46C9BAC7BBF61D0D4141

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 進行 NotBefore 伺服器驗證：

• MULTICERT \ MULTICERT 根憑證授權單位 01 \ 46AF7A31B599460D469D6041145B13651DF9170A
• 世康信託系統有限公司 \ 安全通訊 RootCA3 \ C303C8227492E561A29C5F79912B1E441391303A
• První certifikační autorita， a.s. \ I.CA Root CA/RSA \ 9B0959898154081BF6A90E9B9E58A4690C9BA104

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 進行 NotBefore IP 通道：

• 購買通行證 \ 購買通行證 2 類根 CA \ 490A7574DE870A47FE58EEF6C76BEBC60B124099

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 進行 NotBefore 用戶端驗證：

• První certifikační autorita， a.s. \ I.CA Root CA/RSA \ 9B0959898154081BF6A90E9B9E58A4690C9BA104

此版本將針對下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 進行 NotBefore 文件簽署：

• 世康信託系統有限公司 \ 安全通訊 ECC RootCA1 \ B80E26A9BFD2B23BC0EF46C9BAC7BBF61D0D4141
• První certifikační autorita， a.s. \ I.CA Root CA/RSA \ 9B0959898154081BF6A90E9B9E58A4690C9BA104

此版本將為下列根目錄 （CA \ 根憑證 \ SHA-1 指紋） 提供 NotBefore IP 使用者：

• 購買通行證 \ 購買通行證 2 類根 CA \ 490A7574DE870A47FE58EEF6C76BEBC60B124099

此版本不會在加密下列根目錄的檔案系統之前 （CA \ 根憑證 \ SHA-1 指紋）：

• 購買通行證 \ 購買通行證 2 類根 CA \ 490A7574DE870A47FE58EEF6C76BEBC60B124099

此版本將停用下列根目錄 （CA \ 根憑證 \ SHA-1 指紋）：

• AC Camerfirma， SA \ 全球商會標誌根 \ 339B6B1450249B557A01877284D9E02FC3D2D8E9
• Carillon Information Security Inc. \ CISRCA1 \ A69E0336C4E59023FF653C71F928EB73F21C00F0
• 思科 \ 思科 RXC-R2 \ 2C8AFFCE966430BA04C04F81DD4B49C71B5B81A0
• 思科 \ 思科根 CA 2048 \ DE990CED99E0431F60EDC3937E7CD5BF0ED9E5FA
• Collegio de Registradores Mercantile（西班牙財產和商業登記處）\ Registradores de España - CA Raíz \ 211165CA379FBB5ED801E31C430A62AAC109BCB4
• Digidentity B.V. \ Digidentity 服務根 CA \ 7B3FB277EE311C1ED560CAB96E4FED775E6A3EED
• 立陶宛政府，Registru Centras \ RCSC RootCA \ FDE7C6FDB32BB8E63939840D6AE052C3D8B73B87
• 葡萄牙政府，Sistema de Certificação Electrónica do Estado （SCEE） / 國家電子認證系統 \ ECRaizEstado \ 3913853E45C439A2DA718CDFB6F3E033E04FEE71
• 南非政府，郵局信任中心 \ SAPO 2 類根 CA \ E45501608AA1EF89E27B8CD3C3B34C03B038E6D7
• 南非政府，郵局信託中心 \ SAPO 3 類根 CA \ 38DD7659C735100B00A237E491B7BC0FFCD2316C
• 南非政府，郵局信託中心 \ SAPO 4 類根 CA \ 20A8F5FFC43AF4A9BC89881EBF9920FF91E9FD0A
• 西班牙政府，Dirección General de la Policía – Ministerio del Interior – España。 \ AC 拉茲 DNIE \ B38FECEC0B148AA686C3D00F01ECC8848E8085EB
• 台灣政府根憑證授權單位 （GRCA） \ grca_grca2 \ B091AA913847F313D727BCEFC8179F086F3A8C0F
• 台灣政府根認證機構 （GRCA） \ grca_grca \ F48B11BFDEABBE94542071E641DE6BBE882B40B9
• 突尼斯政府，Agence National de Certification Electronique / National Digital Certification Agency （ANCE/NDCA） \ 突尼西亞根證書頒發機構 - TunRootCA2 \ 9638633C9056AE8814A065D23BDC60A0EE702FA7
• 烏拉圭政府電子政務和信息社會局 （AGESIC） \ Autoridad Certificadora Raíz Nacional de Uruguay \ 7A1CDDE3D2197E7137433D3F99C0B369F706C749
• • 印度政府、通信和信息技術部、認證機構控制者 （CCA）\ CCA India 2014 \ A2B86B5A68D92819D9CE5DD6D7969A4968E11991
• 印度政府、通信和信息技術部、認證機構控制者 （CCA） \ CCA India 2015 SPL \ \ 3BC6DCE00307BD676041EBD85970C62F8FDA5109
• 西班牙政府，Ministerio de Trabajo e Inmigración （MTIN） \ AC1 RAIZ MTIN \6AD23B9DC48E375F859AD9CAB585325C23894071
• Government of Brazil， Instituto Nacional de Tecnologia da Informação （ITI） \ Autoridade Certificadora Raiz Brasileira v2 \A9822E6C6933C63C148C2DCAA44A5CF1AAD2C42E
• 巴西政府，Instituto Nacional de Tecnologia da Informação （ITI） \ Autoridade Certificadora Raiz Brasileira v1 \705D2B4565C7047A540694A79AF7ABB842BDC161
• 芬蘭政府，人口登記中心 （Väestörekisterikeskus， VRK） \ VRK Gov. 根目錄 CA \FAA7D9FB31B746F200A85E65797613D816E063B5
• Inera AB （SITHS） \ SITHS Root CA v1 \ 585F7875BEE7433EB079EAAB7D05BB0F7AF2BCCC
• 韓國資訊安全振興院 （KISA） \ KISA RootCA 1 \ 027268293E5F5D17AAA4B3C3E6361E1F92575EAA
• LuxTrust \ LuxTrust 全域根 2 \ 1E0E56190AD18B2598B20444FF668A0417995F3F
• 網路解決方案 \ 網路解決方案憑證授權單位 \ 71899A67BF33AF31BEFDC071F8F733B183856332
• 網路解決方案 \ 網路解決方案 RSA 憑證授權單位 \ 8E928C0FC27BB7ABA34E6BC0CA1250CB57B60F84
• 網路解決方案 \ 網路解決方案 ECC 憑證授權單位 \ 80F95B741C38399495C34F20C23E7336314D3C6B
• 塞爾維亞郵政 \ Posta CA Root \ D6BF7994F42BE5FA29DA0BD7587B591F47A44F22
• 世康信託系統有限公司 \ secom_secom \36B12B49F9819ED74C9EBC380FC6568F5DACB2F7
• SK ID Solutions AS \ EE 認證中心根 CA \ C9A8B9E755805E58E35377A725EBAFC37B27CCD7
• SwissSign AG \ SwissSign 白金卡利福尼亞州 - G2 \ 56E0FAC03B8F18235518E5D311CAE8C24331AB66
• 馬來西亞電信應用商業 （TMCA） \ TM 應用商業根證書 \ 9957C53FC59FB8E739F7A4B7A70E9B8E659F208C
• TrustCor 系統 \ TrustCor RootCert CA-1 \ FFBDCDE782C8435E3C6F26865CCAA83A455BC30A
• TrustCor 系統 \ TrustCor RootCert CA-2 \ B8BE6DCB56F155B963D412CA4E0634C794B21CC0
• TrustCor 系統 \ TrustCor ECA-1 \ 58D1DF9595676B63C0F05B1C174D8B840BC878BD
• TrustFactory（Pty）Ltd \ TrustFactory SSL 根憑證授權單位 \ D11478E8E5FB62540593D22C51570D014EAC76D8
• PostSignum \ PostSignum 根目錄 QCA 2 \A0F8DB3F0BF417693B282EB74A6AD86DF9D448A3

此版本將刪除以下根（CA\根證書\SHA-256指紋）：

• Autoridad de Certificación （ANF AC） \ ANF 全球根 CA \5BB59920D11B391479463ADD5100DB1D52F43AD4
• DigiCert \ 賽門鐵克第 1 類公用主要憑證授權單位 - G4 \84F2E3DD83133EA91D19527F02D729BFC15FE667
• DigiCert \ 賽門鐵克第 2 類公用主要憑證授權單位 - G4 \6724902E4801B02296401046B4B1672CA975FD2B
• DigiCert \ GeoTrust 通用 CA \E621F3354379059A4B68309D8A2F74221587EC79
• Image-X 企業公司 \ esignit.org \9F8DE799CF8764ED2466990564041B194919EDE8
• Skaitmeninio sertifikavimo centras （SSC） \ SSC GDL CA VS Root \D2695E12F592E9C8EE2A4CB8D55E295FEE6B2D31
• 信託 \ Trustis_FPSRootCA \3BC0380B33C3F6A60C86152293D9DFF54B81C004

憑證透明度記錄監視器 （CTLM） 原則
憑證透明度記錄監視器 （CTLM） 原則現在包含在每月 Windows CTL 中。 這是公開信任的記錄伺服器清單，用於驗證 Windows 上的憑證透明度。 記錄伺服器清單預期會在淘汰或取代時隨著時間而變更，而此清單會反映 Microsoft 信任的 CT 記錄伺服器。 在即將推出的 Windows 版本中，使用者能夠選擇加入憑證透明度驗證，這會檢查 CTLM 中不同記錄伺服器是否存在兩個已簽署的憑證時間戳記 （SCT）。 此功能目前正在使用事件記錄進行測試，以確保它在個別應用程式選擇加入強制執行之前是可靠的。