Nové root a ICA certifikáty od marca 2023

(15.09.2022) Od 8. marca budúceho roka začne CA DigiCert vydávať TLS/SSL certifikáty pomocou nových root a intermediate CA (ICA) certifikátov piatej generácie (G5).

Prečo DigiCert svoje root a ICA certifikáty mení?

DigiCert momentálne používa „viacúčelové“ root a ICA certifikáty, s ktorými vystavuje všetky typy certifikátov. Nové root a intermediate CA (tzv. ICA) certifikáty piatej generácie (5G) však budú určené iba pre vystavovanie TLS/SSL certifikátov. Vďaka tejto novej špecifikácii vo vydávaní certifikátov tak prípadné zmeny v odvetví (napríklad zmeny v podmienkach používania certifikátov iniciované zo strany CAB fóra) ovplyvnia vždy len tie certifikáty, ktorých sa zmeny budú priamo týkať (napríklad code signing certifikáty).

Čo treba robiť?

Z vašej strany nie je potrebná žiadna akcia.

Od 8.3.2022 začne DigiCert nové TLS/SSL certifikáty vystavovať v novej hierarchii defaultne. Existujúce TLS/SSL však zostanú dôveryhodné až do skončenia ich platnosti.

Windows, Chrome aj najnovšie Firefox G5 root certifikáty už obsahujú a ostatní klienti ich v implementácii budú čoskoro nasledovať. Ak by však po 8. marci 2023 vaše úložisko nové certifikáty neobsahovalo, vyrieši tento problém jednoduchá inštalácia crossed-signed root a ICA certifikátu. Podrobné informácie vrátane návodu našim zákazníkom včas zašleme.

Už teraz však dôrazne neodporúčame pinning vydavateľa na kontrolu vo vašich aplikáciách, pretože sa vydavateľ v rôznych intervaloch mení a k zmenám bude určite dochádzať aj v budúcnosti.