A Symantec TLS tanúsítványai az új infrastruktúrában és a DigiCert-vel való összevonás

A Symantec TLS tanúsítványai az év végétől egy új infrastruktúra részét fogják képezni, amely a Symantec PKI és a DigiCert vállalat egyesüléséből fog létrejönni. Ez szükségessé teszi az eddigi tanúsítványok újra kiadását (reissue). Itt megtalálja az összes szükséges információt.

 

Az új PKI infrastruktúra

A DigiCert joint-venture-nek köszönhetően a Symantec PKI termékeinek (ún. Website Security Solutions) és annak aktíváinak összevonására kerül sor a DigiCert CA-val. A DigiCert a Symantec tanúsítványai számára mint alárendelt CA fog működni (SubCA), amely a tanúsítványok ellenőrzését fogja végezni. A tanúsítvány kiállításának további folyamata nem változik és az ügyfél ugyanúgy fogja megkapni a tanúsítványt, ahogy eddig megszokta.

Ennek a változásnak további előnye a tanúsítványok kiadásának felgyorsulása lesz, amely az eddigiekhez képest lerövidül. Mindkét hitelesítési hatóság csak a TLS tanúsítványok kiadására fog összpontosítani, amely egyszerűsíti és felgyorsítja a kapcsolódó folyamatokat.

A DigiCert eddig főleg az enterprise ügyfelekkel foglalkozott; ezzel a lépéssel eljut a végfelhasználókhoz is; ezzel szemben a Symantec ügyfelei hozzáférést kapnak azon termékek kibővített portfóliójához, amelyeket a Symantec kínálatában eddig nem szerepeltek (pl. S / MIME tanúsítványok).

Mindkét hitelesítési hatóság a tranzakció végén (2018 harmadik negyedév) egy vállalat részévé válik. A közeljövőben tehát bővül a saját kínálatunk is a DigiCert jelenlegi termékeivel. A symantec SSL / TLS tanúsítványai természetesen nem változtatnak.

Az új infrastruktúrára való áttérés oka egy a Google-val való vita volt, amely meg akarta vonni a Chrome-ban  bizalmat a tanúsítványok felé, amelyek a Certificate Transparency-n kívül és később a Symantec korábbi PKI-ban kiállított tanúsítványaitól is. Ezzel a lépéssel a vita megoldódott és az új infrastruktúrából származó tanúsítványok probléma mentesen fognak működni.

Az új PKI Symantec-re és DigiCert-re zökkenőmentes átállás feltétele és a hitelesség megőrzésének feltétele az érintett TLS tanúsítványok újbóli kiadatása.

Az új infrastruktúra indítása

Az új infrastruktúra 2017. december 1-jétől lép érvénybe. Az új gyökér tanúsítványok november folyamán válnak elérhetővé és valamennyi CA gyökér listáján megtalálhatóak lesznek. Létrejönnek az új RSA 4096 és az ECC 384 gyökér tanúsítványok. A termékek jobban diverzifikálódnak önálló Sub-CA-val (intermediate).

A régebbi eszközökkel való kompatibilitás a Verisign G5 második gyökér tanúsítvány aláírásával lesz bebiztosítva (cross-signing segítségével).

A kibocsátott tanúsítványok újra kiadatása (Reissue)

Mint feljebb is említettük, az új infrastruktúrára való áttérés megoldja a Chrome problémát, és minden tanúsítvány problémamentes lesz. A korábban kiadott tanúsítványokat szükséges ingyenesen újra kiadatni, mégpedig a következőképpen:

  • azokat a tanúsítványokat, amelyek 2016. június 1-je előtt bocsátottak ki és 2018. szeptember 13. előtt lejárnak, ajánlott azonnal újra kiadatni

  • azokat a tanúsítványokat, amelyek 2016. június 1-je előtt bocsátottak ki és 2018. szeptember 13. után lejárnak, ajánlott 2017.december 1 és 2018. március 15 között újra kiadatni
  • 2017. december 1-je előtt kiadott és 2018 szeptember 13 után lejáró tanúsítványokat ajánlott 2017. december 1-jétől 2018. szeptember 13.-a között újra kiadatni

A tanúsítványok újra kiadatása ingyenes és közvetlenül az ügyfél adminisztrációs felületén lehet elvégezni. A költségmentesség mellett a tanúsítvány paraméterei/jellemzői – beleértve a lejárati időt is- maradnak.


AZ ÜGYFELEKET ÉRTESÍTENI FOGJUK AZ ADOTT TANÚSÍTVÁNYOK ÚJRA KIADATÁSÁNAK (REISSUE) SZÜKSÉGÉRŐL ILLETŐEN.
Minden ügyfélfiókhoz megkapja az érintett tanúsítványok listáját.

Segítünk a lecserélésben

Minden ügyfél időben megkapja a tanúsítványok listáját, amelyeket az említett adatok alapján újra ki kell adatni. Az ügyfél SSLmarket admin felülete segítségével ezt bármikor megteheti a fiókjába való bejelentkezés után, de igénybe veheti a segítségünket is.

Ha az újra kiadatáshoz új CSR-re van szüksége (Windows Server), létrehozhatja azt közvetlenül az SSLmarket-en, és a tanúsítvány kiadatása után PFX fájlt  is létrehozhat a Windows Server-hez.

FIGYELEM: A fenti információk nem érintik a Code Signing tanúsítványokat.