由于DigiCert Global Root CA被取消信任,过去几天(从2026年04月21日到2026年04月25日)到Outlook、Hotmail等微软邮箱的邮件投递失败或者延迟。
现服务器已降级ca-certificates-mozilla到3.122-1以规避问题。然后就看微软什么时候读自己的文档去把它修好了。
请微软邮箱用户考虑更换其它邮箱。
是 outlook 的 mx 还在用旧证书链吗?微软那篇文章看起来只是说要信任新 CA, 没说要取消信任旧 CA 啊
对,它还在用这个旧的。可以这么检查:
openssl s_client -starttls smtp -servername outlook.com -connect 52.101.10.0:25
要信任新CA的原因就是旧的不能用了嘛,提供服务的当然也要更新证书链了。