TLS certifikáty Symantec v nové infrastruktuře a sloučení s DigiCert

TLS certifikáty Symantec budou od konce roku součástí nové infrastruktury, která vznikne sloučením Symantec PKI se společností DigiCert. S tím souvisí nutnost přegenerování (reissue) současných certifikátů. Zde naleznete všechny potřebné informace.

Nová PKI infrastruktura

Na základě joint-venture se společností DigiCert dojde ke sloučení PKI produktů Symantecu (tzv. Website Security Solutions) a jeho aktiv s certifikační autoritou DigiCert. DigiCert bude pro certifikáty Symantec fungovat jako podřazená CA (SubCA), která pro něj bude provádět ověřování certifikátů. Zbytek procesu vydání certifikátu se nemění a zákazník dostane certifikát přesně tak, jak byl dosud zvyklý.

Přínosem této změny bude zrychlení při vydávání certifikátů, které se má oproti současnému zkrátit. Obě certifikační autority se budou zaměřovat pouze na vydávání TLS certifikátů, což zjednoduší a zrychlí související procesy.

DigiCert se v současnosti věnuje zejména enterprise zákazníkům a operací získá přístup i k zákazníkům koncovým; naopak zákazníci certifikátů Symantec získají přístup k rozšířenému portfoliu produktů obohacenému o produkty, které Symantec v nabídce nyní neměl (například S/MIME certifikáty).

Obě certifikační autority budou po konci transakce (Q3 2018) součástí jedné společnosti. V blízké budoucnosti se tedy můžete těšit na rozšíření naší nabídky o současné produkty DigiCert. SSL/TLS certifikáty Symantec se samozřejmě nijak nemění.

Důvodem pro přechod na novou infrastrukturu byl spor s Google, který chtěl v Chrome zrušit důvěru v certifikáty vystavené mimo Certificate Transparency a později i v certifikáty vystavené ve staré PKI Symantecu. Operací se spor vyřešil a certifikáty z nové infrastruktury budou fungovat bez problému.

Podmínkou pro hladký přechod na nové PKI Symantecu a DigiCertu a předpokladem pro zachování důvěryhodnosti je reissue dotčených TLS certifikátů.

Spuštění nové infrastruktury

Nová infrastruktura bude v provozu od 1.12.2017. Nové kořenové certifikáty budou k dispozici během listopadu a budou rozšířeny do všech seznamů kořenových CA. Vzniknou nové kořenové certifikáty RSA 4096 a ECC 384. Produkty budou lépe diverzifikovány samostatnými Sub-CA (intermediaty).

Kompatibilita se staršími zařízeními bude zajištěna díky podpisu druhým kořenovým certifikátem Verisign G5 (pomocí cross-signing).

Reissue vydaných certifikátů

Jak bylo zmíněno výše, přechodem na novou infrastrukturu bude vyřešen problém s Chrome a všechny certifikáty budou bez problému. Certifikáty vydané předtím je třeba zdarma vystavit znovu a to podle tohoto klíče:

  • certifikáty vydané před 1.6.2016 a expirující před 13.9.2018 je vhodné přegenerovat okamžitě
  • certifikáty vydané před 1.6.2016 a expirující po 13.9.2018 je vhodné přegenerovat od 1.12.2017 do 15.3.2018
  • certifikáty vydané před 1.12.2017 a expirující po 13.9.2018 je vhodné přegenerovat od 1.12.2017 do 13.9.2018
     
Harmonogram reissue
Harmonogram reissue
     

Přegenerování certifikátu je zdarma a můžete ho provést přímo v zákaznické administraci. Při bezplatném vystavení nového certifikátu zůstávají zachovány parametry certifikátu původního - včetně expirace.


SSLmarket doporučuje EV certifikát se zeleným pruhem

Doporučujeme: EV certifikát GeoTrust

Certifikát True BusinessID EV je vhodný pro každý web který chce být důvěryhodný. Nejprodávanější EV SSL certifikát z naší nabídky se zelenýn pruhem s název vaší organizace. Můžete jím zabezpečit až 250 domén (příplatkové SANy).
Již od 6 867 Kč Objednat

S procesem náhrady vám pomůžeme

Každý zákazník obdrží včas seznam certifikátů, které by měl v uvedených datech nechat znovu vystavit (provést reissue). Zákaznická administrace SSLmarketu umožňuje tento proces provést kdykoliv po přihlášení do účtu, ale můžete se též obrátit rovnou na naši podporu.

Pokud pro přegenerování potřebujete nové CSR (Windows Server), můžete si ho vytvořit přímo v SSLmarketu a po vydání certifikátu si dokonce můžete vytvořit PFX soubor pro svůj Windows Server.