TLS certifikáty Symantec v novej infrastruktúre a zlúčenie s DigiCert

TLS certifikáty Symantec budú od konca roka súčasťou novej infraštruktúry, ktorá vznikne zlúčením Symantec PKI so spoločnosťou DigiCert. S tým súvisí nutnosť pregenerovania (reissue) súčasných certifikátov. Tu nájdete všetky potrebné informácie.

Nová PKI infraštruktúra

Na základe joint-venture so spoločnosťou DigiCert príde k zlúčeniu PKI produktov Symantecu (tzv. Website Security Solutions) a ich aktív s certifikačnou autoritou DigiCert. DigiCert bude pre certifikáty Symantec fungovať ako podradená CA (SubCA), ktorá pre neho bude vykonávať overovanie certifikátov. Zbytok procesu vydania certifikátu sa nemení a zákazník dostane certifikát presne tak, ako bol doteraz zvyknutý.

Ďalším prínosom tejto zmeny bude zrýchlenie pri vydávaní certifikátov, ktorého čas sa má oproti súčasnému skrátiť. Obe certifikačné autority sa budú zameriavať len na vydávanie TLS certifikátov, čo zjednoduší a zrýchlí súvisiace procesy.

DigiCert sa dosiaľ venoval najmä enterprise zákazníkom a operáciou získa prístup aj k zákazníkom koncovým; naopak zákazníci certifikátov Symantec získajú prístup k rozšírenému portfóliu produktov obohatenému o produkty, ktoré Symantec v ponuke nemal (napríklad S/MIME certifikáty).

Obe certifikačné autority budú po konci transakcie (Q3 2018) súčasťou jednej spoločnosti. V blízkej budúcnosti sa teda môžete tešiť na rozšírenie našej ponuky o súčasné produkty DigiCert. SSL/TLS certifikáty Symantec sa samozrejme nijak nemenia.

Dôvodom na prechod na novú infraštruktúru bol spor s Google, ktorý chcel v Chrome zrušiť dôveru k certifikátom, vystaveným mimo Certificate Transparency a neskôr aj k certifikátom, vystaveným v starej PKI Symantecu. Operáciou sa spor vyriešil a certifikáty z novej infraštruktúry budú fungovať bez problému.

Podmienkou pre hladký prechod na nové PKI Symantecu a DigiCertu a predpokladom pre zachovanie dôveryhodnosti je reissue dotknutých TLS certifikátov.

Spuetenie novej infraštruktúry

Nová infraštruktúra bude v prevádzke od 1.12.2017. Nové koreňové certifikáty budú k dispozícii v priebehu novembra a budú rozšírené do všetkých zoznamov koreňových CA. Vzniknú nové koreňové certifikáty RSA 4096 a ECC 384. Produkty budú lepšie diverzifikované samostatnými Sub-CA (intermediatmi).

Kompatibilita so staršími zariadeniami bude zabezpečená vďaka podpisu druhým koreňovým certifikátom Verisign G5 (pomocou cross-signing).

Reissue vydaných certifikátov

Ako bolo zmienené vyššie, prechodom na novú infraštruktúru bude vyriešený problém s Chrome a všetky certifikáty budú bez problému. Certifikáty vydané predtým je potrebné zadarmo vystaviť znova a to podľa tohoto kľúča:

  • certifikáty vydané pred 1.6.2016 a expirujúce pred 13.9.2018 je vhodné pregenerovať okamžite
  • certifikáty vydané pred 1.6.2016 a expirujúce po 13.9.2018 je vhodné pregenerovať od 1.12.2017 do 15.3.2018
  • certifikáty vydané pred 1.12.2017 a expirujúce po 13.9.2018 je vhodné pregenerovať od 1.12.2017 do 13.9.2018

Pregenerovanie certifikátu je zadarmo a môžete ho vykonať priamo v zákazníckej administrácii. Je bezplatný a parametre certifikátu - vrátane expirácie - zostávajú.

Zákazníkov budeme o nutnosti reissue konkrétnych certifikátov informovať. Ku každému zákazníckemu účtu obdržíte zoznam dotknutých certifikátov.

S procesom náhrady vám pomôžeme

Každý zákazník obdrží včas zoznam certifikátov, ktoré by mal v uvedených dátach znova pregenerovať. Zákaznícka administrácia SSLmarketu umožňuje tento proces vykonať kedykoľvek po prihlásení do účtu, ale môžete sa tiež obrátiť rovno na našu podporu.

Pokiaľ na pregenerovanie potrebujete nové CSR (Windows Server), môžete si ho vytvoriť priamo v SSLmarkete a po vydaní certifikátu si dokonca môžete vytvoriť PFX súbor pre svoj Windows Server.

Upozornenie: Informácie výššie sa netýkajú Code Signing certifikátov.