Her er hvad migreringen betyder for dine certifikater og systemer, især hvis du bruger klientgodkendelse i SSL/TLS certifikater.
Hvad dette betyder for dig
For de fleste SSL-kunder, Denne migrering er problemfri. Hvis din TLS Certifikater bruges til standard HTTPS-webservergodkendelse, dine certifikater vil fortsætte med at fungere præcis som forventet, efter at udstedelsen er flyttet til 2022-rodfæstelsen.
Hvis dine systemer er afhængige af ClientAuth EKU'en i din TLS certifikater, Du har en beslutning at træffe og flere muligheder at overveje:
- Har systemer fastgjort til 2016-rødderne, men har brug for Chrome-tillid? Dette er det mest komplekse scenarie, der kræver øjeblikkelig opmærksomhed. PKI Løsningseksperter kan samarbejde med dig og/eller dit team om at kortlægge en praktisk vej fremad for dit miljø.
- Skift til vores klientcertifikatprodukt. Brug dedikerede klientcertifikater til klientgodkendelse. Disse er bygget til dette formål og påvirkes ikke af Google Chromes servergodkendelseskrav.
- Bliv ved 2016-rødderne, hvis Chrome-tillid ikke er et problem. Hvis du ikke har brug for Chrome-browsertillid, kan du forblive på 2016-rødderne for nu, men browsertilliden vil indsnævres over tid, så der vil være behov for handling i den nærmeste fremtid.
- Brug krydscertifikater for bagudkompatibilitet. Hvis din organisation har brug for tillid, der kan kædes tilbage til rødderne fra 2016, samtidig med at den bevæger sig fremad, kan krydscertifikater bygge bro over dette hul. Dette er en god mulighed for teams med systemer, der er afhængige af det ældre rodhierarki.
Hvorfor dette sker
Rødder ældes ud
Rodcertifikater er fundamentet for digital tillid. Browsere og operativsystemer vedligeholder lister over rødder, som de anerkender som troværdige, og hvert certifikat, du udsteder, kan spores tilbage til en af dem. Ældre rødder indebærer dog større risiko over tid.
Rødder, der har været i omløb i årevis, har oplevet øget eksponering, flere muligheder for kryptografiske sårbarheder og et enormt potentiale for misbrug. Det er en stor del af grunden til, at branchen støt har forkortet certifikaters levetid og presset certifikatmyndigheder til at modernisere deres tillidshierarkier. Browsere foretrækker i stigende grad nyere, velstyrede rødder. Migrering til vores 2022-rødder holder SSL på linje med, hvor branchen er på vej hen, og sikrer, at dine certifikater er tillidsvækkende for moderne browsere.
Kromfaktoren
Chromes rodprogram kræver, at offentligheden TLS Certifikater inkluderer kun Server Authentication Extended Key Usage (EKU). I årevis har det været almindelig praksis at udstede TLS certifikater, der også inkluderer ClientAuth EKU, hvilket gør det muligt for et enkelt certifikat at håndtere både server- og klientgodkendelse. Chrome har fastslået, at denne dobbelte anvendelse aldrig var det tilsigtede formål med en offentlig TLS certifikat og udfaser det.
Da vores 2016-rødder blev brugt til at udstede certifikater, der kunne inkludere ClientAuth EKU, fjerner SSL disse rødder fra offentlige tillidslagre og overfører udstedelsen til vores 2022-rødder. Certifikater udstedt fra 2022-rødderne vil kun have servergodkendelse, i fuld overensstemmelse med Chromes krav.
Vi er her for at hjælpe
Uanset om du har brug for at migrere til et klientcertifikatprodukt, udforske muligheder for krydscertifikater eller opbygge en overgangsplan omkring din eksisterende infrastruktur, er SSL's PKI Eksperterne er klar til at hjælpe dig med at finde den rette løsning til din organisation.
Hvis du er usikker på, hvordan denne ændring påvirker dine certifikatimplementeringer, eller hvis du har brug for hjælp til at evaluere dine muligheder, kan du kontakte vores team i dag for at drøfte dine specifikke behov eller få øjeblikkelig hjælp til din migreringsstrategi.
