Nové root a ICA certifikáty od března 2023
(16.11.2022) Od 8. března příštího roku začne CA DigiCert vydávat TLS/SSL certifikáty pomocí nových root a intermediate CA (ICA) certifikátů druhé generace (G2).
Proč DigiCert své root a ICA certifikáty mění?
Změna je iniciována Mozillou, která chce stávající root a intermediate certifikáty nahradit kvůli jejich stáří. Novým root a ICA certifikátům chce prohlížeč zároveň omezit platnost na 10 let a zvýšit tak jejich agilitu, tedy aby na trhu fungovaly kratší dobu a častěji se měnily. Důvodem je ale i budoucí potřeba přiblížit se ke kryptografii, která odolá kvantovým počítačům.
DigiCert tedy pouze reaguje na nové podmínky ve vystavování certifikátů. Dříve plánovaný přechod na root a ICA certifikáty páté generace (G5) DigiCert však z tohoto důvodu musel odložit.
Co je třeba dělat?
Z vaší strany není nutná žádná akce.
Od 8.3.2023 začne DigiCert nové TLS/SSL certifikáty vystavovat v nové hierarchii defaultně. Existující TLS/SSL však zůstanou důvěryhodné až do vypršení jejich platnosti.
Důrazně však nedoporučujeme pinning vydavatele pro kontrolu ve vašich aplikacích, protože se vydavatel v různých intervalech mění a ke změnám bude jistě docházet i v budoucnu. Ani G2 certifikáty nebudou platné déle než do roku 2029.
