公告中心

腾讯位置服务Web服务API - HTTPS证书更新通知

腾讯位置服务-WebServiceAPI使用HTTPS来保证通信安全，在请求服务器通信前，要在客户端的操作系统或者执行环境(如JRE等)中部署权威机构的根证书。 调用API的过程中，会用根证书来校验服务器及域名的真实性。

受Mozilla信任库的根证书最新信任策略（全球所有 CA 的可信根证书生成后最少 15 年更换一次，超过时间的可信根会逐渐被 Mozilla 停止信任）影响，DigiCert 将逐步停用旧根体系（G1）颁发 TLS/SSL 证书，并开始使用新根体系（G2）颁发 TLS/SSL 证书。

当前腾讯位置服务WebServiceAPI服务器证书的颁发根CA是Digicert Global Root CA (G1)，计划于2024年10月17日14:00开始，升级采用DigiCert Global Root G2根CA颁发的新服务器证书，请提前完成相关验证和修正，以免影响正常使用。

验证是否兼容
若在您的程序运行环境可正常访问G2新根证书的测试域名，且正常返回结果，代表您无需进行任何操作，反之需要进行相应的修正
1. 浏览器访问
新根-G2证书
https://g2-digicert.it.tencent.com
验证正常结果：不弹出证书安全告警页面，内容返回 success

2. curl方式访问
新根-G2证书
curl -vv https://g2-digicert.it.tencent.com
验证正常结果：内容返回 success， 不出现无法获取本地证书
验证失败返回内容：
curl: (60) SSL certificate problem: unable to get local issuer certificate
curl: (60) Peer certificate cannot be authenticated with known CA certificates

3.Java程序访问 https://g2-digicert.it.tencent.com
验证正常结果：内容返回 success
验证失败返回内容：
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

4.其它程序或系统：请参考相应技术文档

如何修正：
1. 版本兼容问题：新的 G2 根体系采用更高安全性的 SHA256 签名算法，且依然兼容当前主流的操作系统和移动设备，主流环境兼容情况如下，若您的运行环境不满足以下要求，请进行相应升级（如Java开发的程序其JRE低于1.8.0_131）

2. 大多数操作系统和执行环境都默认内置了DigiCert Global Root G2根证书，因此大多数系统无需改动即可兼容新服务器证书。但如果您的服务器/终端设备未内置G2根证书，或程序代码指定使用旧的G1根证书，则会受到影响，将出现服务中断的问题。请及时移除指定旧根证书操作，改用系统自带的信任库进行验证，并确保有DigiCert Global Root G2根证书；