Udfasning Addtrust External CA rodcertifikat
Den 30. maj 2020 udløber Sectigos (tidligere Comodo) rodcertifikat, som hedder AddTrust External CA Root. Certifikatet er aktivt siden 30. maj 2000, og siden det blev lanceret bredt understøttet. Efterfølgeren til dette rodcertifikat hedder Comodo RSA Certification Authority Root, og vil udløbe i 2038. Denne artikel forklarer, hvordan udfasningen af rodcertifikatet virker, og hvorfor der ikke kræves ekstra handlinger på serversiden.
Tillidskæden
Hvert SSL certifikat udstedes under et rodcertifikat. Rootcertifikater er selvsignerede certifikater kontrolleret af en CA som Comodo og er inkluderet i listen af betroede rodcertifikater i browseren. Dette er vigtigt for understøttelsen af SSL certifikaterne: når flere browsere har tillid til et rodcertifikat, vil de SSL certifikater, der udstedes under dette rodcertifikat, være mere pålidelige.
Mellem et rodcertifikat og et SSL certifikat er der et eller flere mellemliggende certifikater. Sammen leverer de en komplet kæde ("tillidskæden") til rodcertifikatet. Ved brug af mellemcertifikater behøver rodcertifikatet ikke selv at underskrive et certifikat. På den måde kan rodcertifikatet forblive off-line, hvilket gør det mindre sårbart for misbrug. Mellemliggende certifikater kan betragtes som skiltning, der peger på rodcertifikatet. Et SSL certifikat er underskrevet af et mellemliggende certifikat og det mellemliggende certifikat af et rodcertifikat. Manglende installation af mellemcertifikater kan medføre fejlmeddelelser i nogle browsere. En oversigt over de nuværende root- og mellemcertifikater findes her
Krydssignering
At opbygge en god kompatibilitet af en ny rod tager tid. Derfor er Comodo SSL certifikater krydssigneret under to forskellige rodcertifikater, den tidligere omtalte Addtrust External CA root med en gyldighed indtil maj 2020, og den relativt nye - og dermed mindre bredt understøttede - rodcertifikat fra Comodo RSA Certification Authority gældende indtil maj 2038.
Derudover er der et yderlige mellemligende certifikater udstedet under Comodo RSA Certification authority intermediate. Navnet på det mellemligende certifikat afhænger af det underskrevne SSL certifikat under det. For eksempel er navnet på mellemligende certifikat, der signerer EV certifikater, COMODO RSA EV Secure Server CA. Dette sidste mellemligende certifikat er signeret af både Comodo RSA Certification authority intermediate certifikatet og af rodcertifikat med samme navn, dette kaldes krydssignering. På grund af krydssigneringsteknikken er to gyldige rodcertifikater kendt, og begge kan bruges.
Har mit Comodo certifikat stadig tillid?
På grund af kompatibiliteten og den udbredte browser support af Addtrust External CA root certifikatet tilbyder vi stadig dette rodcertifikat. Når det udløber, og en klient allerede kender til Comodo RSA Certification authority rodcertifikat, vil den blive brugt automatisk. På grund af dette vil installation af det gamle rodcertifikat ikke medføre problemer fra 30. maj 2020. Du kan se, at nyere klienter, som er bekendt med Comodo RSA Certification authority rodcertifikatet, allerede bruger det. I dag udstedes certifikater med en maksimal gyldighed på to år. På grund af dette er det muligt, at certifikatet har en længere gyldighed end rodcertifikatet du bruger. Fordi krydssigneringsteknikken bruges, fører det ikke til problemer.
Nogle besøgende bruger stadig gamle enheder. På grund af dette råder vi til at bruge den gamle kæde. Fra den 30. maj 2020 vil ældre enheder, der ikke har det nye rodcertifikat desværre give en fejl.
Bemærk: Windows Server tilbyder automatisk den korteste kæde. Det er muligt at deaktivere det nye rodcertifikat, indtil Addtrust External CA rodcertifikatet er udløbet.
Overlapning af navngivning og udløbsdato
Under den gamle 'Addtrust External CA' rodcertifikat er 'Comodo RSA Certification authority' mellemcertifikatet til stede. Rod- og mellemcertifikatet udløber den 30. maj 2020. Hertil kommer, at det udløbende certifikat har samme navn som den nye Comodo RSA Certification authority rodcertifikat.
Fingeraftryk
Hvert certifikat har sit eget unikke fingeraftryk. For de tidligere diskuterede certifikater er disse:
Addtrust External CA Root certifikat:
02faf3e291435468607857694df5e45b68851868
Comodo RSA Certification Authority intermediate certifikat:
f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0
Comodo RSA Certification Authority root certifikat:
afe5d244a8d1194230ff479fe2f897bbcd7a8cb4
Dette giver dig mulighed for at kontrollere med sikkerhed, hvilket certifikat der findes på serveren.
Har du brug for hjælp?
Ring til os +45 898 719 39
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.