SSL.com flyttar certifikatutfärdandet från våra rötter från 2016 till de nya rötter från 2022. Här är vad migreringen innebär för dina certifikat och system, särskilt om du använder klientautentisering i SSL/TLS certifikat.
Vad det här betyder för dig
För de flesta SSL-kunder, den här migreringen är sömlös. Om din TLS certifikat används för standard HTTPS-webbserverautentisering, dina certifikat kommer att fortsätta fungera exakt som förväntat efter att utfärdandet flyttas till 2022 års roots.
Om dina system är beroende av ClientAuth EKU i din TLS certifikat, du har ett beslut att fatta och flera alternativ att överväga:
- Har systemen fästs vid 2016 års rötterna, men behöver Chrome-förtroende? Detta är det mest komplexa scenariot och kräver omedelbar uppmärksamhet. PKI Lösningsexperter kan arbeta med dig och/eller ditt team för att kartlägga en praktisk väg framåt för din miljö.
- Byt till vår klientcertifikatprodukt. För klientautentisering, använd dedikerade klientcertifikat. Dessa är byggda för detta ändamål och påverkas inte av Google Chromes serverautentiseringskrav.
- Håll dig till 2016 års rötter om Chromes förtroende inte är ett problem. Om du inte behöver Chrome-webbläsarförtroendet kan du behålla 2016 års rötterna för tillfället, men webbläsarförtroendet kommer att minska med tiden, så åtgärder kommer att behövas inom en snar framtid.
- Använd korscertifikat för bakåtkompatibilitet. Om er organisation behöver förtroende som kan hänga tillbaka till rötterna från 2016 samtidigt som det går framåt, kan korscertifieringar överbrygga den klyftan. Detta är ett bra alternativ för team med system som är beroende av den äldre rothierarkin.
Varför detta händer
Rötter åldras ut
Rotcertifikat är grundpelarna för digitalt förtroende. Webbläsare och operativsystem har listor över rötter som de känner igen som pålitliga, och varje certifikat du utfärdar spåras tillbaka till en av dem. Äldre rötter medför dock större risker över tid.
Rotcertifikat som har cirkulerat i åratal har ökat sin exponering, fått fler kryptografiska sårbarheter att uppstå och en enorm potential för missbruk. Det är en stor del av anledningen till att branschen stadigt har förkortat certifikatens livslängd och drivit certifikatutfärdare att modernisera sina förtroendehierarkier. Webbläsare föredrar i allt högre grad nyare, välstyrda rotcertifikat. Genom att migrera till våra 2022-rotcertifikat hålls SSL i linje med branschens riktning och moderna webbläsare ser till att dina certifikat är betrodda.
Kromfaktorn
Chromes rotprogram kräver att det offentliga TLS Certifikaten inkluderar endast Server Authentication Extended Key Usage (EKU). I åratal har det varit vanligt att utfärda TLS certifikat som även inkluderar ClientAuth EKU, vilket gör att ett enda certifikat kan hantera både server- och klientautentisering. Chrome har fastställt att denna dubbla användning aldrig var det avsedda syftet med en offentlig TLS certifikat och fasar ut det.
Eftersom våra 2016-rotcertifikat användes för att utfärda certifikat som kunde inkludera ClientAuth EKU, tar SSL bort dessa rötter från offentliga förtroendelager och överför utfärdandet till våra 2022-rotcertifikat. Certifikat som utfärdas från 2022-rotcertifikaten kommer endast att ha serverautentisering, i full överensstämmelse med Chromes krav.
Vi är här för att hjälpa
Oavsett om du behöver migrera till en klientcertifikatprodukt, utforska alternativ för korscertifikat eller bygga en övergångsplan kring din befintliga infrastruktur, SSL:s PKI Experter är redo att hjälpa dig hitta rätt lösning för din organisation.
Om du är osäker på hur den här förändringen påverkar dina certifikatdistributioner, eller om du behöver hjälp med att utvärdera dina alternativ, kontakta vårt team idag för att diskutera dina specifika behov eller för att få omedelbar hjälp med din migreringsstrategi.
