Udfasning Addtrust External CA rodcertifikat

Den 30. maj 2020 udløber Comodos rodcertifikat, som hedder AddTrust External CA Root. Certifikatet er aktivt siden 30. maj 2000, og siden det blev lanceret bredt understøttet. Efterfølgeren til dette rodcertifikat hedder Comodo RSA Certification Authority Root, og vil udløbe i 2038. Denne artikel forklarer, hvordan udfasningen af ??rodcertifikatet virker, og hvorfor der ikke kræves ekstra handlinger på serversiden.

Tillidskæden

Hvert SSL certifikat udstedes under et rodcertifikat. Rootcertifikater er selvsignerede certifikater kontrolleret af en CA som Comodo og er inkluderet i listen af betroede rodcertifikater i browseren. Dette er vigtigt for understøttelsen af ??SSL certifikaterne: når flere browsere har tillid til et rodcertifikat, vil de SSL certifikater, der udstedes under dette rodcertifikat, være mere pålidelige.

Mellem et rodcertifikat og et SSL certifikat er der et eller flere mellemliggende certifikater. Sammen leverer de en komplet kæde ("tillidskæden") til rodcertifikatet. Ved brug af mellemcertifikater behøver rodcertifikatet ikke selv at underskrive et certifikat. På den måde kan rodcertifikatet forblive off-line, hvilket gør det mindre sårbart for misbrug. Mellemliggende certifikater kan betragtes som skiltning, der peger på rodcertifikatet. Et SSL certifikat er underskrevet af et mellemliggende og mellemliggende af rodcertifikatet. Hvis du ikke installerer dem, kan det i nogle tilfælde føre til fejl, når du besøger siden, hvor certifikatet er aktivt.

Krydssignering

At opbygge en god kompatibilitet af en ny rod tager tid. Derfor er Comodo SSL certifikater krydssigneret under to forskellige rodcertifikater, den tidligere omtalte Addtrust External CA root med en gyldighed indtil maj 2020, og den relativt nye - og dermed mindre bredt understøttede - rodcertifikat fra Comodo RSA Certification Authority gældende indtil maj 2038.

Derudover er der et yderlige mellemligende certifikater udstedet under Comodo RSA Certification authority intermediate. Navnet på det mellemligende certifikat afhænger af det underskrevne SSL certifikat under det. For eksempel er navnet på mellemligende certifikat, der signerer EV certifikater, COMODO RSA EV Secure Server CA. Dette sidste mellemligende certifikat er signeret af både Comodo RSA Certification authority intermediate certifikatet og af rodcertifikat med samme navn, dette kaldes krydssignering. På grund af krydssigneringsteknikken er to gyldige rodcertifikater kendt, og begge kan bruges.

Har mit Comodo certifikat stadig tillid?

På grund af kompatibiliteten og den udbredte browser support af Addtrust External CA root certifikatet tilbyder vi stadig dette rodcertifikat. Når det udløber, og en klient allerede kender til Comodo RSA Certification authority rodcertifikat, vil den blive brugt automatisk. På grund af dette vil installation af det gamle rodcertifikat ikke medføre problemer fra 30. maj 2020. Du kan se, at nyere klienter, som er bekendt med Comodo RSA Certification authority rodcertifikatet, allerede bruger det. I dag udstedes certifikater med en maksimal gyldighed på to år. På grund af dette er det muligt, at certifikatet har en længere gyldighed end rodcertifikatet du bruger. Fordi ??krydssigneringsteknikken bruges, fører det ikke til problemer.

Nogle besøgende bruger stadig gamle enheder. På grund af dette råder vi til at bruge den gamle kæde. Fra den 30. maj 2020 vil ældre enheder, der ikke har det nye rodcertifikat desværre give en fejl.

Bemærk: Windows Server tilbyder automatisk den korteste kæde. Det er muligt at deaktivere det nye rodcertifikat, indtil Addtrust External CA rodcertifikatet er udløbet.

Overlapning af navngivning og udløbsdato

Under den gamle 'Addtrust External CA' rodcertifikat er 'Comodo RSA Certification authority' mellemcertifikatet til stede. Rod- og mellemcertifikatet udløber den 30. maj 2020. Hertil kommer, at det udløbende certifikat har samme navn som den nye Comodo RSA Certification authority rodcertifikat.

Fingeraftryk

Hvert certifikat har sit eget unikke fingeraftryk. For de tidligere diskuterede certifikater er disse:

Addtrust External CA Root certifikat:

02faf3e291435468607857694df5e45b68851868

Comodo RSA Certification Authority intermediate certifikat:

f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0

Comodo RSA Certification Authority root certifikat:

afe5d244a8d1194230ff479fe2f897bbcd7a8cb4

Dette giver dig mulighed for at kontrollere med sikkerhed, hvilket certifikat der findes på serveren.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.