DigiCert rotuje intermediaty. Co to znamená pro vás?
5. 11. 2020 | Jindřich Zechmeister
Intermediate certifikát je certifikát, kterým CA vydává certifikáty koncové. Tyto CA certifikáty DigiCert rotuje, proto je dobré vědět, kde najdete ten správný. Potřebujete ho pro důvěryhodnost koncového certifikátu a správnou instalaci.
Intermediate certifikát je certifikát, kterým CA podepisuje (tedy vydává) certifikáty koncové pro naše zákazníky. Je důležitý pro instalaci certifikátu na server, protože propojuje certifikát s kořenovým certifikátem CA a zajišťuje tak důvěryhodnost pro všechna zařízení. Tyto CA certifikáty DigiCert rotuje, proto je dobré vědět, kde najdete ten správný.
K čemu je potřeba intermediate certifikát
Jak už bylo zmíněno v úvodu, Intermediate certifikát je nezbytný pro důvěryhodnost použitého TLS certifikátu a potřebujete ho pro správnou instalaci. Je to certifikát, který vydal váš certifikát koncový; můžete tedy správný Intermediate identifikovat podle pole Vydavatel, které je uvedeno ve vašem certifikátu. Podle názvu však snadno daný certifikát najdete.
Rotace a nové intermediate certifikáty
Certifikační autorita DigiCert bude častěji než dříve měnit použité Intermediate certifikáty. Důvodů k tomu má několik, zejména vyšší bezpečnost a vyšší flexibilitu při vydávání. Pro zákazníky to neznamená žádnou práci navíc, pouze by si měli zvyknout při instalaci i prodlužování používat námi dodaný Intermediate certifikát (a nenechávat na serveru předchozí).
K poslední rotaci došlo 2. listopadu 2020, kdy byly vyřazeny starší certifikáty, které už DigiCert nebude používat. Místo nich se budou používat nové Intermediate certifikáty. Nové ekvivalenty najdete v tabulce níže.
November 2020 ICA ReplacementsCurrent ICA certificate |
New ICA certificate |
Issuing root certificate |
DigiCert SHA2 Secure Server CA |
DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA |
DigiCert SHA2 Secure Server CA |
DigiCert SHA2 Secure Server CA |
DigiCert Global Root CA |
DigiCert Baltimore CA-2 G2 |
DigiCert Baltimore TLS RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
DigiCert Global CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
DigiCert ECC Secure Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
DigiCert Baltimore CA-1 G2 |
DigiCert Baltimore SMIME RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
DigiCert Global CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
DigiCert Trusted Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
DigiCert ECC Extended Validation Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
DigiCert Assured ID CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
DigiCert Extended Validation CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
DigiCert High Assurance CA-3 |
DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA |
DigiCert EV Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
V předchozí vlně v červnu 2020 byly nasazeny dva nové Intermediate certifikáty. Prvním z nich je RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1, který nově vydává oblíbené certifikáty RapidSSL. Druhou CA je GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1, který vydává DV certifikáty GeoTrust.
Kde vzít ten pravý intermediate certifikát
V prvním odstavci jsem zmínil, že Intermediate certifikát snadno najdete podle jména vydavatele koncového certifikátu. To je však trochu pracné a při instalaci to zdržuje. V naší administraci máte možnost stáhnout vždy správný pár certifikátů - tedy koncový a k němu příslušící správný intermediate. Tak ušetříte čas a nemůže dojít k omylu. Správný intermediate certifikát taky najdete v e-mailu o vydání certifikátu; posíláme je v příloze zprávy. Obě možnosti získání jsou snadné a rychlé.
Třetí možnost je stáhnout si intermediate certifikát z našeho webu či webu CA. Pro tento účel máme k dispozici článek Intermediate a root certifikáty našich CA (CA bundle). Na této stránce se snažíme udržovat přehled aktuálních intermediate certifikátů, ale jejich aktuální použití nemusí být 100% zaručeno. Doporučujeme vždy primárně používat certifikáty z detailu objednávky, které jsou zaručeně vydavatelem vašeho certifikátu. I přes nejvyšší snahu může dojít ke změně, která nebude na této stránce zohledněna.
Čeho se vyvarovat
Nikdy nepoužívejte intermediate certifikáty pro ověření (autentizaci) spolu s vaším certifikátem, protože se mohou nečekaně změnit. Špatná praxe je též "pinování" těch "správných" intermediate certifikátů do aplikací tak, aby akceptovaly pouze předem nastavené certifikáty. To způsobuje fatální problémy zejména u mobilních aplikací, které se snadno mohou stát nefunkčními (stačí, aby se změnil vydavatel použitého certifikátu). Pokud opravdu musíte kontrolovat "očekávaný" certifikát u klientů, tak vždy použijte ke kontrole údaje koncového certifikátu, které se nemohou změnit. Intermediate certifikátů se používá celá řada právě kvůli snadné diverzifikaci vydaných certifikátů a DigiCert má určitě v plánu je v budoucnu rotovat častěji.
Zdroj:
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
