Kontaktieren Sie uns: 089 - 954571 38 | info@sslmarket.de

Magazin über die Internetsicherheit

Blog über die SSL/TLS-Zertifikate und Zertifizierungsstellen, für Sie von Experten aus SSLmarket.de vorbereitet

DigiCert rotiert Intermediate Zertifikate. Was bedeutet es für Sie?

(6. 11. 2020) Das Intermediate Zertifikat ist das Zertifikat, mit welchem die CA die Endzertifikate ausstellt. Diese Zertifikate werden auch als CA Zertifikate benannt und da sie DigiCert rotiert, ist es gut zu wissen, wo Sie das richtige finden. Das Intermediate brauchen Sie für die Vertrauenswürdigkeit des Endzertifikats und die richtige Installierung.

Das Intermediate Zertifikat ist das Zertifikat, mit welchem die CA die Endzertifikate für unsere Kunden signiert, also ausstellt. Es ist erforderlich für die Installierung auf den Server, weil es das Endzertifikat (Serverzertifikat) mit dem Root-Zertifikat der CA verknüpft und somit die Vertrauenswürdigkeit für alle Geräte schafft. Da DigiCert disese CA Zertifikate rotiert, sollten Sie wissen, wo sich das richtige befindet.

Wozu benötigen Sie das Intermediate Zertifikat

Wie bereits in der Anleitung erwähnt ist das Intermediate Zertifikat für die Vertrauenswürdigkeit des genutzten TLS-Zertifikats erforderlich und Sie brauchen es für die richtige Installierung. Es ist das Zertifikat, welches Ihr Endzertifikat ausgestellt hat, und das richtige Intermediate Zertifikat können Sie deshalb nach dem Feld Aussteller identifizieren, welches in Ihrem Zertifikat angegeben ist. Nach diesem Namen finden Sie das entsprechende Intermediate Zertifikat einfach.

Rotieren und neue Intermediate Zertifikate

Die Zertifizierungsstelle DigiCert wird häufiger als früher die genutzten Intermediate Zertifikate tauschen. Dafür hat sie mehrere Gründe, vor allem geht es ihr um eine höhere Sicherheit und Flexibilität bei der Ausstellung. Für unsere Kunden bedeutet dies keinen höheren Arbeitsaufwand; nur sollten sie sich bei der Installierung und Verlängerung an die Nutzung des von uns gelieferten Intermediate Zertifikats gewöhnen (und auf dem Server nicht das vorangehende lassen).

Zur letzten Rotation ist es am 2. November 2020 gekommen, wann die älteren Zertifikate, die DigiCert nicht mehr nutzen wird, ausgesondert wurden. Anstatt dieser werden neue Intermediate Zertifikate genutzt. Diese neuen Äquivalente finden Sie in der Tabelle.

November 2020 ICA Replacements

Current ICA certificate

New ICA certificate

Issuing root certificate

DigiCert SHA2 Secure Server CA

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert SHA2 Secure Server CA

DigiCert SHA2 Secure Server CA

DigiCert Global Root CA

DigiCert Baltimore CA-2 G2

DigiCert Baltimore TLS RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert ECC Secure Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Baltimore CA-1 G2

DigiCert Baltimore SMIME RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert Trusted Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

DigiCert ECC Extended Validation Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Assured ID CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert Extended Validation CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert High Assurance CA-3

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert EV Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

In der vorangehenden Welle im Juli 2020 sind zwei neue Intermediate Zertifikate eingesetzt worden. Das erste von ihnen ist RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1, welches neu die beliebten Zertifikate RapidSSL ausstellt. Die zweite CA ist GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1, die die DV Zertifikate ausstellt.

Wo können Sie das richtige Intermediate Zertifikat finden?

In dem ersten Artikel haben wir Sie darauf hingewiesen, dass Sie das Intermediate Zertifikat einfach nach dem Namen des Ausstellers des Endzertifikats finden können. Dies kann jedoch ein bisschen mühsam sein und kann die Installierung verzögern. In Ihrer SSLmarket Kundenverwaltung können Sie aber immer das richtige Zertifikatspaar finden – also das Endzertifikat und das ihm entsprechende richtige Intermediate. Somit sparen Sie Ihre Zeit und droht keine Verwechslung. Das richtige Intermediate finden Sie auch in der E-Mail über die Ausstellung des Zertifikats im Anhang der Nachricht. Beide Möglichkeiten des Zertifikatsdownloads sind einfach und schnell.

Die dritte Möglichkeit ist das Intermediate Zertifikat aus unserem Web oder Web der CA herunterzuladen. Für diesen Zweck haben wir den Artikel Intermediate und Root Zertifikate unserer CAs (CA Bundle) erstellt. Auf dieser Seite werden wir uns bemühen, die Übersicht der aktuellen Intermediate Zertifikate einzuhalten, aber ihre Aktualität können wir nicht 100% gewährleisten. Wir empfehlen Ihnen, primär immer das Zertifikat aus dem Detail der Bestellung zu nutzen, welches Ihr Zertifikat sicher ausgestellt hat. Auch trotz unserer Bemühungen kann es zu einer Änderung kommen, die auf der Webseite nicht berücksichtigt wird.

Was ist zu vermeiden

Niemand nutzen Sie die Intermediate Zertifikate für die Überprüfung (Authentifizierung) zusammen mit Ihrem Zertifikat, weil sie sich unerwartet ändern können. Abzuraten ist auch von dem Pinning der richtigen Intermediate Zertifikate in die Anwendungen, um sicherzustellen, dass nur die im Voraus eingestellten Zertifikate akzeptiert werden. Dies kann fatale Probleme vor allem bei den mobilen Anwendungen verursachen. Wenn sich der Aussteller des genutzten Zertifikats ändert, hören sie oft auf zu funktionieren. Falls Sie bei den Clients das erwartete Zertifikate tatsächlich kontrollieren müssen, dann nutzen Sie für die Kontrolle die Angaben des Endzertifikats, die sich nicht ändern können. Von den Intermediate Zertifikaten wird eine ganze Reihe eben wegen der einfachen Diversifizierung der ausgestellten Zertifikate genutzt und DigiCert hat bestimmt vor, sie in der Zukunft häufiger zu ändern.

Quelle:

  1. DigiCert ICA Update
  2. DigiCert Trusted Root Authority Certificates

SSLmarket.de
Anbieter von vertrauenswürdigen SSL-Zertifikaten
Symantec Platinum Partner
E-Mail: info(at)sslmarket.de