DigiCert rotiert Intermediate Zertifikate. Was bedeutet es für Sie?
06.11.2020 | Petra Alm
Das Intermediate Zertifikat ist das Zertifikat, mit welchem die CA die Endzertifikate ausstellt. Diese Zertifikate werden auch als CA Zertifikate benannt und da sie DigiCert rotiert, ist es gut zu wissen, wo Sie das richtige finden. Das Intermediate brauchen Sie für die Vertrauenswürdigkeit des Endzertifikats und die richtige Installierung.
Das Intermediate Zertifikat ist das Zertifikat, mit welchem die CA die Endzertifikate für unsere Kunden signiert, also ausstellt. Es ist für die Installierung auf den Server erforderlich, weil es das Endzertifikat (Serverzertifikat) mit dem Root-Zertifikat der CA verknüpft und somit die Vertrauenswürdigkeit für alle Geräte schafft. Da DigiCert disese CA Zertifikate rotiert, sollten Sie wissen, wo sich das richtige befindet.
Wozu benötigen Sie das Intermediate Zertifikat
Wie bereits in der Anleitung erwähnt, ist das Intermediate Zertifikat für die Vertrauenswürdigkeit des genutzten TLS-Zertifikats erforderlich und Sie brauchen es für die richtige Installierung. Es ist das Zertifikat, welches Ihr Endzertifikat ausgestellt hat, und das richtige Intermediate Zertifikat können Sie deshalb nach dem Feld Aussteller identifizieren, welches in Ihrem Zertifikat angegeben ist. Unter diesem Namen lässt sich das entsprechende Intermediate Zertifikat einfach auffinden.
Rotieren und neue Intermediate Zertifikate
Die Zertifizierungsstelle DigiCert wird die genutzten Intermediate Zertifikate häufiger als früher tauschen. Dafür hat sie mehrere Gründe, vor allem geht es ihr um eine höhere Sicherheit und Flexibilität bei der Ausstellung. Für unsere Kunden bedeutet dies keinen höheren Arbeitsaufwand; nur sollten sie sich bei der Installierung und Verlängerung an die Nutzung des von uns gelieferten Intermediate Zertifikats gewöhnen (und auf dem Server nicht das vorangehende lassen).
Zur letzten Rotation ist es am 2. November 2020 gekommen, als die älteren Zertifikate, die DigiCert nicht mehr benutzt, ausgesondert wurden. Anstatt dieser werden neue Intermediate Zertifikate genutzt. Diese neuen Äquivalente finden Sie in der Tabelle.
November 2020 ICA Replacements
|
Current ICA certificate |
New ICA certificate |
Issuing root certificate |
|
DigiCert SHA2 Secure Server CA |
DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA |
|
DigiCert SHA2 Secure Server CA |
DigiCert SHA2 Secure Server CA |
DigiCert Global Root CA |
|
DigiCert Baltimore CA-2 G2 |
DigiCert Baltimore TLS RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
|
DigiCert Global CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
|
DigiCert ECC Secure Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
|
DigiCert Baltimore CA-1 G2 |
DigiCert Baltimore SMIME RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
|
DigiCert Global CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
|
DigiCert Trusted Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
|
DigiCert ECC Extended Validation Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
|
DigiCert Assured ID CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
|
DigiCert Extended Validation CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
|
DigiCert High Assurance CA-3 |
DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA |
|
DigiCert EV Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
In der vorangehenden Welle im Juli 2020 sind zwei neue Intermediate Zertifikate eingesetzt worden. Das erste von ihnen ist RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1, welches neu die beliebten Zertifikate RapidSSL ausstellt. Die zweite CA ist GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1, die die DV Zertifikate ausstellt.
Wo können Sie das richtige Intermediate Zertifikat finden?
In dem ersten Artikel haben wir Sie darauf hingewiesen, dass Sie das Intermediate Zertifikat einfach nach dem Namen des Ausstellers des Endzertifikats finden können. Dies kann jedoch ein bisschen mühsam sein und kann die Installierung verzögern. In Ihrer SSLmarket Kundenverwaltung können Sie aber immer das richtige Zertifikatspaar finden – also das Endzertifikat und das ihm entsprechende richtige Intermediate. Somit sparen Sie Ihre Zeit und es droht keine Verwechslung. Das richtige Intermediate finden Sie auch in der E-Mail über die Ausstellung des Zertifikats im Anhang der Nachricht. Beide Möglichkeiten des Zertifikatsdownloads sind einfach und schnell.
Die dritte Möglichkeit ist das Intermediate Zertifikat aus unserem Web oder Web der CA herunterzuladen. Für diesen Zweck haben wir den Artikel Intermediate und Root Zertifikate unserer CAs (CA Bundle) erstellt. Auf dieser Seite werden wir uns bemühen, die Übersicht der aktuellen Intermediate Zertifikate einzuhalten, aber ihre Aktualität können wir nicht 100% gewährleisten. Wir empfehlen Ihnen, primär immer das Zertifikat aus dem Detail der Bestellung zu nutzen, welches Ihr Zertifikat sicher ausgestellt hat. Auch trotz unserer Bemühungen kann es zu einer Änderung kommen, die auf der Webseite nicht berücksichtigt wird.
Was ist zu vermeiden
Nutzen Sie die Intermediate Zertifikate für die Überprüfung (Authentifizierung) zusammen mit Ihrem Zertifikat, weil sie sich unerwartet ändern können. Abzuraten ist auch von dem Pinning der richtigen Intermediate Zertifikate in die Anwendungen, um sicherzustellen, dass nur die im Voraus eingestellten Zertifikate akzeptiert werden. Dies kann fatale Probleme vor allem bei den mobilen Anwendungen verursachen. Wenn sich der Aussteller des genutzten Zertifikats ändert, hören sie oft zu funktionieren auf. Falls Sie bei den Clients das "erwartete" Zertifikat tatsächlich kontrollieren müssen, dann nutzen Sie für die Kontrolle die Angaben des Endzertifikats, die sich nicht ändern können. Von den Intermediate Zertifikaten wird eine ganze Reihe eben wegen der einfachen Diversifizierung der ausgestellten Zertifikate genutzt und DigiCert hat bestimmt vor, sie in der Zukunft häufiger zu ändern.
Quelle:
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de
