DigiCert rotuje intermediaty. Co to znamená pro vás?

5. 11. 2020 | Jindřich Zechmeister

Intermediate certifikát je certifikát, kterým CA vydává certifikáty koncové. Tyto CA certifikáty DigiCert rotuje, proto je dobré vědět, kde najdete ten správný. Potřebujete ho pro důvěryhodnost koncového certifikátu a správnou instalaci.

Intermediate certifikát je certifikát, kterým CA podepisuje (tedy vydává) certifikáty koncové pro naše zákazníky. Je důležitý pro instalaci certifikátu na server, protože propojuje certifikát s kořenovým certifikátem CA a zajišťuje tak důvěryhodnost pro všechna zařízení. Tyto CA certifikáty DigiCert rotuje, proto je dobré vědět, kde najdete ten správný.

K čemu je potřeba intermediate certifikát

Jak už bylo zmíněno v úvodu, Intermediate certifikát je nezbytný pro důvěryhodnost použitého TLS certifikátu a potřebujete ho pro správnou instalaci. Je to certifikát, který vydal váš certifikát koncový; můžete tedy správný Intermediate identifikovat podle pole Vydavatel, které je uvedeno ve vašem certifikátu. Podle názvu však snadno daný certifikát najdete.

Rotace a nové intermediate certifikáty

Certifikační autorita DigiCert bude častěji než dříve měnit použité Intermediate certifikáty. Důvodů k tomu má několik, zejména vyšší bezpečnost a vyšší flexibilitu při vydávání. Pro zákazníky to neznamená žádnou práci navíc, pouze by si měli zvyknout při instalaci i prodlužování používat námi dodaný Intermediate certifikát (a nenechávat na serveru předchozí).

K poslední rotaci došlo 2. listopadu 2020, kdy byly vyřazeny starší certifikáty, které už DigiCert nebude používat. Místo nich se budou používat nové Intermediate certifikáty. Nové ekvivalenty najdete v tabulce níže.

November 2020 ICA Replacements

Current ICA certificate

New ICA certificate

Issuing root certificate

DigiCert SHA2 Secure Server CA

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert SHA2 Secure Server CA

DigiCert SHA2 Secure Server CA

DigiCert Global Root CA

DigiCert Baltimore CA-2 G2

DigiCert Baltimore TLS RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert ECC Secure Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Baltimore CA-1 G2

DigiCert Baltimore SMIME RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert Trusted Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

DigiCert ECC Extended Validation Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Assured ID CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert Extended Validation CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert High Assurance CA-3

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert EV Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

 

V předchozí vlně v červnu 2020 byly nasazeny dva nové Intermediate certifikáty. Prvním z nich je RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1, který nově vydává oblíbené certifikáty RapidSSL. Druhou CA je GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1, který vydává DV certifikáty GeoTrust.

Kde vzít ten pravý intermediate certifikát

V prvním odstavci jsem zmínil, že Intermediate certifikát snadno najdete podle jména vydavatele koncového certifikátu. To je však trochu pracné a při instalaci to zdržuje. V naší administraci máte možnost stáhnout vždy správný pár certifikátů - tedy koncový a k němu příslušící správný intermediate. Tak ušetříte čas a nemůže dojít k omylu. Správný intermediate certifikát taky najdete v e-mailu o vydání certifikátu; posíláme je v příloze zprávy. Obě možnosti získání jsou snadné a rychlé.

Třetí možnost je stáhnout si intermediate certifikát z našeho webu či webu CA. Pro tento účel máme k dispozici článek Intermediate a root certifikáty našich CA (CA bundle). Na této stránce se snažíme udržovat přehled aktuálních intermediate certifikátů, ale jejich aktuální použití nemusí být 100% zaručeno. Doporučujeme vždy primárně používat certifikáty z detailu objednávky, které jsou zaručeně vydavatelem vašeho certifikátu. I přes nejvyšší snahu může dojít ke změně, která nebude na této stránce zohledněna.

Čeho se vyvarovat

Nikdy nepoužívejte intermediate certifikáty pro ověření (autentizaci) spolu s vaším certifikátem, protože se mohou nečekaně změnit. Špatná praxe je též "pinování" těch "správných" intermediate certifikátů do aplikací tak, aby akceptovaly pouze předem nastavené certifikáty. To způsobuje fatální problémy zejména u mobilních aplikací, které se snadno mohou stát nefunkčními (stačí, aby se změnil vydavatel použitého certifikátu). Pokud opravdu musíte kontrolovat "očekávaný" certifikát u klientů, tak vždy použijte ke kontrole údaje koncového certifikátu, které se nemohou změnit. Intermediate certifikátů se používá celá řada právě kvůli snadné diverzifikaci vydaných certifikátů a DigiCert má určitě v plánu je v budoucnu rotovat častěji.

Zdroj:

  1. DigiCert ICA Update
  2. DigiCert Trusted Root Authority Certificates

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz