AddTrust root certificaqte即將過期其實於一年多前開始即已公告於各大網路平台，大部分客戶其實也不會感受到有甚麼具體的影響，許多安全網站也評估為不須做任何對應處理。甚至連CA都覺得只要有正確安裝中繼憑證就不會有問題。

但實務上，因使用環境的複雜，還是有少數客戶遇到了服務中斷的問題，主要都是在API服務這部分，目前問題整理如下。

1. 一般web,browser服務:

a.有正確安裝chain憑證者不用做任何事: (以下名稱有附憑證連結,點選即可下載)
會安裝AddTrust或AAA的中繼憑證，都是為了提高系統相容性，因AddTrust為2000年起即提供服務，AAA也至少是2004年起提供服務，可為舊的瀏覽器或行動裝置提供服務

b.只裝了server憑證者: 瀏覽器客戶端會自動提供信任練,無影響

c.建議即使沒問題的客戶也將AddTrust中繼憑證更換為AAA中繼憑證。

2.提供 API 串接服務: (重點在移除舊的中繼憑證,加入AAA根憑證)

• Apache/Unix :
  指定新的bundle憑證位置重開服務即完成更新
• Java base :
  將keystore裡的中繼憑證(UserTrust / AddTrust)和root(AddTrust)移除,匯入新的中繼憑證(UserTrust / AAA)和root(AAA)即可,
  也可採用將jks檔案中key匯出至新的keystore,然後重新將server憑證及新的chain與root匯入的方案
• IIS / pfx :
  IIS將新的中繼憑證(UserTrust / AAA)匯入,並移除舊的中繼憑證(UserTrust / AddTrust)即可,        
  pfx格式處裡方式為先匯入IIS，再使用上述方式處裡完中繼憑證問題，再重新匯出新的pfx(包含所有中繼憑證)
• 其他server:
  處理方式都一樣,移除舊的中繼憑證(UserTrust / AddTrust)和root(AddTrust),匯入新的中繼憑證(UserTrust / AAA)和root(AAA)即可。
  
  以上操作方式有任何問題都可以來電洽詢本公司客服中心，亦可提供免費遠端桌面協助系統更新服務。
  

3.B2B有互相綁定憑證的服務:

除了主機端照上述原則更新中繼憑證外，必要時對方也必需更換中繼憑證，如只綁定主要server憑證者不須更新。

4.類似F5等硬體服務:    

都是以移除舊中繼憑證(UserTrust / AddTrust),匯入新的中繼憑證(UserTrust / AAA)和root(AAA)後重啟服務為修正方案

5.弱點掃描問題:

a.顯示憑證練其中一個已過期:
如果瀏覽器可正常瀏覽，那沒有立即的問題，當然還是建議客戶將中繼憑證即根憑證更換。

b.如果顯示其中有憑證練使用較低安全性憑證:
那是只為了提高相容性而使用了AddTrust或AAA根憑證，此兩張憑證皆為Sha1等級憑證，而其他憑證皆為Sha384等級以上憑證。
Sha1等級憑證被視為低安全等級，但大部分舊瀏覽器或行動裝置只支援Sha1等級舊root，是否要提供此類客戶服務，必須從支援性與安全性取得一個平衡點。
在加密服務本身使用的是Server憑證(Sha384以上等級)，所以安全上還是沒問題的，但對於安全政策與風險控管上，視客戶內部要求與評估而決定是否要使用。

6.將本公司下列信箱加入白名單

因本公司郵件公告服務常被提報為spam黑名單，導致許多客戶無法收到本公司公告或新聞通知信，強烈建議請客戶將本公司下列信箱加入白名單

網域: ssl.com.tw / globaltrust.com.tw

主機: mail.ssl.com.tw / mail.globaltrust.com.tw

7.收不到安全通知信件問題

即使是既有客戶，但仍有許多客戶在申請憑證時未勾選[接受本公司安全公告通知信]選項，本公司不會濫發廣告信，請在申請時勾選收信服務，否則將不會收到除了憑證到期提醒以外的信件。

部份想修改通知選項的客戶可以直接通知客服，目前系統並未提供修改功能，但客服會再請技術部門協助修改，新網站即將上線，將會另外提供安全公告通知信服務選項設定服務。

8.即時通告服務

因郵件收件的不穩定，及重大安全性通知需求，後續本公司將研擬是否額外增加SMS簡訊通知服務，如確定提供，待服務上線後可提供即時通告服務。