Expirace AddTrust External CA Root

Některé SSL/TLS certifikáty značky SECTIGO (dříve COMODO CA), včetně produktů řady PositiveSSL, EssentialSSL, InstantSSL a dalších, jsou podepsány metodou cross-sign (intermediate-root) certifikátem, který je podepsán kořenovou (root) autoritou AddTrust External CA Root. Tento root certifikát expiroval 30.05.2020.

Co znamená expirace root CA

Certifikační autorita SECTIGO spravuje několik kořenových (root) CA certifikátů. Mezi nimi mj. i certifikát AddTrust External CA Root, jehož platnost končí 30.05.2020.

Po tomto datu budou všechny prohlížeče a klienti používat modernější kořenový CA certifikát, který AddTrust External CA Root používal pro cross-signing.

V žádné z aktuálních verzí všech webových prohlížečů se nebudou zobrazovat žádné chyby ani varování.

Co se stane s mým SSL/TLS certifikátem

V drtivé většině případech, kde jsou používány aktuální prohlížeče i serverový software, není třeba dělat nic. Bez ohledu na to, zda byl certifikát vystaven s použitím cross-signed certifikátů nebo nikoliv.

Pozornost této věci musí věnovat pouze ti, kteří na serveru používají neaktualizovaný systém nebo z nějakého důvodu používají zastaralý software.

Informace o tom, které sety intermediate certifikátů jsou platné pro váš SSL/TLS certifikát, můžete zjistit pomocí nástroje od ImmuniWeb® na stránce:

Proč CA používají cross-signing

Důvodem a rovněž hlavní výhodou proč mnohé certifikační autority používají cross-signing je zvýšení kompatibility (důvěryhodnosti) certifikátu na více zařízeních, zejména těch velmi zastaralých.

Co znamená cross-sign

V kryptografii, cross-signed certifikát je takový certifikát, který má podle stadardu X.509 dva či více setů intermediate certifikátů (řetězů důvěry), viz:

Cross-sign SSL/TLS certifikát

To v jednoduchosti znamená, že jeden klient (například webový prohlížeč) může pro SSL certifikát použít jeden řetěz intermediate certifikátů a druhý klient pro ten samý SSL certifikát zcela jiný řetěz.

Nejčastější dotazy

Zůstane můj certifikát důvěryhodný i po 30.05.2020?

Ano. Všechny moderní prohlížeče už dávno používají novější kořenové CA certifikáty, které expirují až v roce 2038. Pouze na velmi zastaralých platformách bude třeba doinstalovat novější kořenové certifikáty SECTIGO; to se nicméně ve většině případech děje při pravidelných aktualizacích.

Musím přegenerovat nebo přeinstalovat svůj SSL/TLS certifikát?

Ne. Váš stávající SSL/TLS certifikát zůstává platný a důvěryhodný i po datu expirace AddTrust External CA Root až do vlastního data expirace a díky cross-signed intermediate-root certifikátům v řetězi důvěry je přegenerování zcela zbytečné.

Co když používám aplikaci, která důvěřuje pouze certifikátům s kořenovou CA AddTrust?

Pokud aplikace důvěřuje pouze kořenové CA AddTrust External CA Root a žádné jiné, mohou se v ní po 30.05.2020 zobrazovat různá varování, chyby nebo aplikace může zcela přestat fungovat. V takovém případě je nutné aplikaci včas aktualizovat.

Mohu nějak zajistit kompatibilitu se zastaralými zařízeními a systémy?

Ano. Přestože doporučujeme zastaralé a neaktuální systémy nepoužívat, je-li to v dané situaci skutečně nezbytné, pak stačí na serveru aktualizovat intermediate certifikát podepsaný kořenovou certifikační autoritou AddTrust External CA Root za tentýž intermediate certifikát podepsaný kořenovou certifikační autoritou AAA Certificate Services, která je rozšířena i na starších zařízeních. Více…

Nejčastěji se jedná o intermediate-root certifikáty:

  • USERTrust RSA Certification Authority
    Issuer: AddTrust External CA Root
  • USERTrust ECC Certification Authority
    Issuer: AddTrust External CA Root
  • Comodo RSA Certification Authority
    Issuer: AddTrust External CA Root
  • Comodo ECC Certification Authority
    Issuer: AddTrust External CA Root

Jednoduše příslušný certifikát nahraďte certifikátem:

Certifikát AddTrust External CA Root samozřejmě smažte, pokud ho máte na serveru nainstalovaný.

Co když můj systém nepodporuje SHA-2?

Pokud používaná platforma nepodporuje moderní algoritmy, například SHA-2 (sha256) a vyšší, je třeba vyřešit včasnou aktualizaci. Kontaktujte dodavatele dané platformy.

Mohu nějak s předstihem vyzkoušet, zda můj SSL/TLS certifikát nebude zobrazovat nějaká varování nebo chyby?

Samozřejmě. Pokud platnost SSL/TLS certifikátu skončí po 30.05.2020, stačí změnit systémový čas na 01.06.2020. Na testovací stránce Sectigo pak můžete testovat různé sety intermediate certifikátů. Některé prohlížeče (například Google Chrome) však mohou takto nesprávně nastavený čas zjistit a zobrazit varování, které však s certifikátem nemá přímou souvislost.

Sectigo EV TIP

  • Nejžádanější EV
  • Již za 2 490 Kč

AlpiroSSL

  • Nejlevnější SSL
  • Vystavení 1-5 min
  • Již za 199 Kč

AlpiroSSL Wildcard

  • Nejlevnější Wildcard SSL
  • Zabezpečí
    ∞ subdomén
  • Vystavení 1-5 min
  • Již za 1 490 Kč

Ceny uvedeny bez 21% DPH.

SSL certifikát — 199 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

Zelený adresní řádek

Nepřehlédnutelný indikátor důvěryhodného webu, díky kterému zvýšíte konverze a zisky.

Multidoménové UC/SAN

Skonsolidujte všechny Vaše SSL certifikáty do jednoho multidoménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Uživatel SSL Nový zákazník

Zavřít
Zavřít
Zavřít
Doporučené SSL certifikáty
Zavřít
Máte dotaz?
Napište nám
Nenašli jste řešení na stránce Podpora a Nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací
Souhlasím