统计了下，JDK6-7,8<8u91 默认都没内置 DigiCert Global Root G2 ，
RHEL/CentOS<6.7 、<7.2 默认都没内置 DigiCert Global Root G2 ，
Ubuntu Server<14.04.3 默认都没内置 DigiCert Global Root G2

@xiaooloong #13 Mozilla 乱搞，DigiCert 和 GlobalSign 直接就跪了，这几乎影响了所有 SSL 证书厂商。
所有使用 SSL 证书的公司，都会被这个影响（个体解决倒是也简单，如果是面对几百几千几万的 API 客户，那量级就不一样了）。

这 2 位就是受到影响的（以后会越来越多，大面积的）：
https://juejin.cn/post/7263035818046488631
https://blog.csdn.net/weixin_43972546/article/details/134311098

@garywill https://www.digicert.com/kb/digicert-root-certificates.htm
已 DigiCert 为例，签了很多：
DigiCert Global Root G2
DigiCert Global Root G3
DigiCert TLS RSA4096 Root G5
DigiCert TLS ECC P384 Root G5
等等。
困难点不在于重新购买证书。
而是：做为使用 https 的公司，要推动升级 client 的根证书。

@whileFalse 虽然我也主力用 Firefox ，感觉 Mozilla 小破公司这个决定，会有很大的负面影响（对它自己也是）。

TLS v1.3 是恰好 5 个，目前都是合规的。
TLS v1.2 就多了，合规这个要看安全和兼容的权衡。
https://www.ssllabs.com/ssltest/ 可以分析 google.com,apple.com,tesla.com 的

可以只 1 个，5 个或者 5 个以上，是为了保持兼容。

我试了下，可以只启用 TLSv1.3 TLS_AES_256_GCM_SHA384 ，chrome,firefox,edge 浏览器都没问题。
RHEL8-9 curl 请求正常。RHEL7 curl 请求失败。

@hongyexiaoqing 运维开发、开发各有千秋吧。
一般运维开发单兵能力强一些（全栈），开发很多是一招鲜（ ctrl+c,ctrl+v,CRUD ）。

横向广，纵向浅。性价比肯定没开发高。
拼代码肯定不如开发，你想想，运维平台能有多少用户？（几百几十？并发几个？）能有什么复杂的逻辑？能有多大的数据量？

系统哪里出 bug 了，大惊小怪的

私有化贵。
SaaS 按需使用，便宜。

自行车载人这么少，为什么都不用大巴车？

django 的项目用户最多几千，并发几个

这事要 CTO 承接比较合适，如果一个开发小兵承接了，这有很大的问题，到时候万一 一地鸡毛，一个小兵能负的起责吗？

还有这个事情谁发起的？如果一个小兵发起的，别人当然懒得理你。你一个小兵瞎折腾，别人当然不陪你玩。