TLS certifikáty Symantec v nové infrastruktuře a sloučení s DigiCert

TLS certifikáty Symantec budou od konce roku součástí nové infrastruktury, která vznikne sloučením Symantec PKI se společností DigiCert. S tím souvisí nutnost přegenerování (reissue) současných certifikátů. Zde naleznete všechny potřebné informace.

Nová PKI infrastruktura

Na základě joint-venture se společností DigiCert dojde ke sloučení PKI produktů Symantecu (tzv. Website Security Solutions) a jeho aktiv s certifikační autoritou DigiCert. DigiCert bude pro certifikáty Symantec fungovat jako podřazená CA (SubCA), která pro něj bude provádět ověřování certifikátů. Zbytek procesu vydání certifikátu se nemění a zákazník dostane certifikát přesně tak, jak byl dosud zvyklý.

Přínosem této změny bude zrychlení při vydávání certifikátů, které se má oproti současnému zkrátit. Obě certifikační autority se budou zaměřovat pouze na vydávání TLS certifikátů, což zjednoduší a zrychlí související procesy.

DigiCert se v současnosti věnuje zejména enterprise zákazníkům a operací získá přístup i k zákazníkům koncovým; naopak zákazníci certifikátů Symantec získají přístup k rozšířenému portfoliu produktů obohacenému o produkty, které Symantec v nabídce nyní neměl (například S/MIME certifikáty).

Obě certifikační autority budou po konci transakce (Q3 2018) součástí jedné společnosti. V blízké budoucnosti se tedy můžete těšit na rozšíření naší nabídky o současné produkty DigiCert. SSL/TLS certifikáty Symantec se samozřejmě nijak nemění.

Důvodem pro přechod na novou infrastrukturu byl spor s Google, který chtěl v Chrome zrušit důvěru v certifikáty vystavené mimo Certificate Transparency a později i v certifikáty vystavené ve staré PKI Symantecu. Operací se spor vyřešil a certifikáty z nové infrastruktury budou fungovat bez problému.

Podmínkou pro hladký přechod na nové PKI Symantecu a DigiCertu a předpokladem pro zachování důvěryhodnosti je reissue dotčených TLS certifikátů.

Spuštění nové infrastruktury

Nová infrastruktura bude v provozu od 1.12.2017. Nové kořenové certifikáty budou k dispozici během listopadu a budou rozšířeny do všech seznamů kořenových CA. Vzniknou nové kořenové certifikáty RSA 4096 a ECC 384. Produkty budou lépe diverzifikovány samostatnými Sub-CA (intermediaty).

Kompatibilita se staršími zařízeními bude zajištěna díky podpisu druhým kořenovým certifikátem Verisign G5 (pomocí cross-signing).

Reissue vydaných certifikátů

Jak bylo zmíněno výše, přechodem na novou infrastrukturu bude vyřešen problém s Chrome a všechny certifikáty budou bez problému. Certifikáty vydané předtím je třeba zdarma vystavit znovu a to podle tohoto klíče:

  • certifikáty vydané před 1.6.2016 a expirující před 13.9.2018 je vhodné přegenerovat okamžitě
  • certifikáty vydané před 1.6.2016 a expirující po 13.9.2018 je vhodné přegenerovat od 1.12.2017 do 15.3.2018
  • certifikáty vydané před 1.12.2017 a expirující po 13.9.2018 je vhodné přegenerovat od 1.12.2017 do 13.9.2018

Přegenerování certifikátu je zdarma a můžete ho provést přímo v zákaznické administraci. Při bezplatném vystavení nového certifikátu zůstávají zachovány parametry certifikátu původního - včetně expirace.

Zákazníky budeme o nutnosti reissue konkrétních certifikátů informovat. Ke každému zákaznickém účtu obdržíte seznam dotčených certifikátů.

S procesem náhrady vám pomůžeme

Každý zákazník obdrží včas seznam certifikátů, které by měl v uvedených datech nechat znovu vystavit (provést reissue). Zákaznická administrace SSLmarketu umožňuje tento proces provést kdykoliv po přihlášení do účtu, ale můžete se též obrátit rovnou na naši podporu.

Pokud pro přegenerování potřebujete nové CSR (Windows Server), můžete si ho vytvořit přímo v SSLmarketu a po vydání certifikátu si dokonce můžete vytvořit PFX soubor pro svůj Windows Server.

Upozornění: Informace výše se netýkají Code Signing certifikátů.