Sectigo AddTrust External CA Root Срок действия истекает 30 мая 2020 года

Грядущее истечение срока действия корневого сертификата AddTrust - что нужно знать. В настоящее время компания Sectigo предлагает возможность перекрестной подписи сертификатов с корнем AddTrust legacy для увеличения поддержки очень старых систем и устройств. Срок действия этого корня истекает в конце мая 2020 года. Любые приложения или установки, зависящие от этого перекрестно подписанного корня, должны быть обновлены до мая 2020 года, иначе они рискуют выйти из строя или получить сообщение об ошибке. Для подавляющего большинства случаев использования стандартный root от Sectigo обеспечивает полную поддержку клиентов. Для необычных случаев Sectigo предлагает новую опцию перекрестного подписания с помощью корня AAA, срок действия которого не истекает до 2038 года. Прочитайте эту статью, чтобы получить полное объяснение перекрестной подписи, срока действия корня AddTrust и возможных альтернатив после истечения этого срока.

• 1

  Что такое корневой сертификат?

  Корневые сертификаты - это самоподписанные сертификаты. Это означает, что "эмитент" и "субъект" совпадают. Корневой сертификат становится доверенным корневым сертификатом (или доверенным ЦС, или якорем доверия) в силу того, что он по умолчанию включен в хранилище доверия какого-либо программного обеспечения, например браузера или ОС. Эти хранилища доверия часто обновляются программным обеспечением браузера или ОС, часто как часть обновлений безопасности, но на старых устаревших платформах они часто обновлялись только как часть полного обновления программного обеспечения - например, пакетов обновления Windows или дополнительных выпусков Windows Update.

  Сертификаты для вашего сайта выпускаются из "цепочки" выдающих или "промежуточных" центров сертификации, которые завершают путь к этим доверенным корневым сертификатам.

  Важно отметить, что обновления безопасности сегодня имеют первостепенное значение. Могут существовать устройства, которые не имеют обновлений, включающих современные корни, и, как следствие, не поддерживают стандарты, необходимые для современного интернета. Хорошим примером является Android. Хотя Android 2.3 Gingerbread не имеет установленных современных корней и полагается на AddTrust, он также не поддерживает TLS 1.2 или 1.3, не поддерживается и помечен производителем как устаревший.

• 2

  Что такое кросс-подпись?

  Центры сертификации часто контролируют несколько корневых сертификатов, и, как правило, чем старше корень, тем шире он распространен на старых платформах. Чтобы воспользоваться этим фактом, центры сертификации генерируют кросс-сертификаты, чтобы гарантировать, что их сертификаты поддерживаются как можно шире. Кросс-сертификат - это когда один корневой сертификат используется для подписи другого. Кросс-сертификат использует тот же открытый ключ и субъект, что и подписываемый корневой сертификат.

  Например, сертификат креста может быть таким:

  

  Использует тот же субъект и открытый ключ, что и самоподписанный корневой сертификат COMODO. Браузеры и клиенты будут цепочкой возвращаться к "лучшему" корневому сертификату, которому они доверяют.

• 3

  Срок действия внешнего центра сертификации AddTrust

  Компания Sectigo контролирует корневой сертификат AddTrust External CA Root, который используется для создания кросс-сертификатов к современным корневым сертификатам Sectigo - COMODO RSA Certification Authority и USERTrust RSA Certification Authority (а также ECC-версии этих корней). Срок действия этих корневых сертификатов истекает только в 2038 году.

  

  Однако срок действия корня внешнего ЦС AddTrust истекает 30 мая 2020 года. После этой даты клиенты и браузеры будут возвращаться к современным корням, которые использовались для перекрестной подписи старым AddTrust. Ошибки не будут отображаться на любом обновленном устройстве или платформе, для которых были установлены обновления

• 4

  Что вам нужно сделать ?

  Для большинства случаев использования, включая сертификаты, обслуживающие современные клиентские или серверные системы, не требуется никаких действий, независимо от того, выпущены ли сертификаты с перекрестной связью с корнем AddTrust или нет.

  Для бизнес-процессов, зависящих от очень старых систем, компания Sectigo предоставила новый корень для перекрестной подписи - корень "AAA Certificate Services". Однако, пожалуйста, будьте крайне осторожны с любыми процессами, которые зависят от очень старых систем. Системы, не получившие обновлений, необходимых для поддержки более новых корней, таких как корень COMODO от Sectigo, неизбежно будут лишены других важных обновлений безопасности и должны считаться небезопасными. Если вы все еще хотите поставить перекрестную подпись на корень AAA Certificate Services, обратитесь непосредственно в Sectigo.

• 5

  Четыре распространенных вопроса

  Будет ли мой сертификат действителен после 30 мая 2020 года?

  Да. Все современные клиенты и операционные системы имеют более новые, современные корни COMODO и USERTrust, срок действия которых истекает только в 2038 году. На платформах, где хранилища доверия были искусственно ограничены или не могут быть обновлены (например, встроенные устройства), вам потребуется обновить и установить более новые корни Sectigo. Убедитесь, что на этих устройствах также установлены необходимые обновления безопасности от производителя.

  Нужно ли мне перевыпускать или переустанавливать сертификат?

  Нет. Ваш сертификат будет оставаться надежным до истечения срока его действия и не нуждается в перевыпуске или переустановке. При желании вы можете отказаться от установки кросс-сертификата на свои серверы. Если вам нужна совместимость с предыдущими версиями после истечения срока действия AddTrust, у нас есть запасной кросс-сертификат, который вы можете установить на свои серверы вместо кросс-сертификата AddTrust. Более подробную информацию см. ниже.

  Могу ли я протестировать или проверить, что не увижу никаких ошибок?

  Да. Если у вас есть сертификат, действительный до июня 2020 года и позже, вы можете перевести часы в своей системе на 1 июня 2020 года и протестировать сайт. Современные браузеры не выдадут никаких ошибок, и вы увидите, что сертификат привязан к корню COMODO или USERTrust. (Примечание: некоторые браузеры, например Google Chrome, обнаружат, что ваши часы идут "неправильно", и в результате покажут предупреждение, не связанное с сертификатами). Вот тестовый сайт, который вы можете использовать для оценки своей среды здесь

  А если у меня есть инфраструктура или приложение, которое доверяет только AddTrust?

  Если система или приложение доверяет только корню AddTrust External CA, а не более современным корням Comodo или USERTrust, то после 30 мая 2020 года будут возникать ошибки.

• 6

  Меры предосторожности и примечания для устаревших сред/устройств:

  Вам может понадобиться обновить все такие системы, чтобы включить в них более современные корни, если это возможно. Если платформа не поддерживает современные алгоритмы (например, SHA-2), вам нужно будет поговорить с поставщиком системы об обновлениях.

  Клиентам, внедрившим AddTrust External CA Root в свои приложения или пользовательские устаревшие устройства, возможно, потребуется внедрить новую замену USERTrust RSA CA Root до истечения срока действия в мае 2020 года.

  Кроме корня AddTrust у Sectigo есть и другие, более старые, унаследованные корни, и мы создали кросс-сертификаты от одного из них, чтобы расширить обратную совместимость. Кросс-сертификат подписывается корнем под названием "AAA Certificate Services". Для получения подробной информации обратитесь в службу поддержки или к своему менеджеру по работе с клиентами.