DigiCert change régulièrement les intermédiaires. Qu'est-ce que cela signifie pour vous ?

5 nov. 2020 | Bianca Cordonnier

Le certificat intermédiaire est un certificat avec lequel l'AC signe et délivre les certificats serveur. Parce que Digicert change ces certificats, il est pratique de savoir où trouver le bon. Vous en avez besoin pour la fiabilité du certificat final et son installation correcte.

Le certificat intermédiaire est un certificat avec lequel l'AC signe, c'est-à-dire émet les certificats finaux pour les clients. Il est nécessaire pour l'installation du certificat sur le serveur parce qu'il crée une couche intermédiaire entre l'autorité de certification et le certificat final de l'utilisateur. Il permet d'établir une liaison SSL et crée une connexion sécurisée pour tous les appareils. Puisque DigiCert alterne régulièrement les certificats CA, il est utile de savoir comment choisir le bon intermédiaire.

Pourquoi un certificat intermédiaire

Comme nous avons déjà mentionné, un certificat intermédiaire est nécessaire pour la fiabilité et l'installation correcte d'un certificat TLS. C'est le certificat qui émet votre certificat final. Pour identifier le bon intermédiaire, faites attention au champ Émetteur indiqué dans votre certificat. Ainsi, vous pouvez trouver un certificat par son nom.

Rotation et nouveaux certificats intermédiaires

L'autorité de certification DigiCert change des certificats intermédiaires plus souvent qu'auparavant. Il y a plusieurs raisons à cela, en particulier : une plus grande sécurité et flexibilité de l'émission. Pour nos clients, cela ne signifie pas de travail supplémentaire, ils doivent seulement s'habituer à utiliser le certificat intermédiaire que nous fournissons (et ne pas laisser le précédent sur le serveur).

Le dernier changement a eu lieu le 2 novembre 2020, quand DigiCert a supprimé les anciens certificats et les a remplacé par les nouveaux intermédiaires. Voir le tableau ci-dessous pour les nouveaux équivalents.

November 2020 ICA Replacements

Current ICA certificate

New ICA certificate

Issuing root certificate

DigiCert SHA2 Secure Server CA

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert SHA2 Secure Server CA

DigiCert SHA2 Secure Server CA

DigiCert Global Root CA

DigiCert Baltimore CA-2 G2

DigiCert Baltimore TLS RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert ECC Secure Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Baltimore CA-1 G2

DigiCert Baltimore SMIME RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert Trusted Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

DigiCert ECC Extended Validation Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Assured ID CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert Extended Validation CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert High Assurance CA-3

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert EV Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

 

Deux nouveaux certificats intermédiaires ont été déployés lors de la vague précédente de juin 2020. Le RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 nous permettant de délivrer les certificats populaires RapidSSL et le GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1.

Où puis-je trouver le bon certificat intermédiaire ?

Dans le premier paragraphe, nous avons mentionné que vous pouvez trouver le certificat intermédiaire par le nom de l'émetteur du certificat final. En général, cela peut être assez compliqué et effectivement, cela retarde l'installation du certificat. Pour cette raison, nous vous recommandons de toujours télécharger les certificats depuis votre espace client ; le certificat final ainsi que l'intermédiaire se trouvent sous votre certificat délivré. Cela vous fait gagner du temps et surtout vous n'y trompez pas. Le certificat intermédiaire se trouve également dans l'e-mail vous annonçant la délivrance du certificat. Les deux options sont simples et rapides.

La troisième option consiste à télécharger un certificat intermédiaire depuis notre site web ou du site web de l'AC. Pour plus d'informations, consultez l'article Certificats Intermédiaires et Root (CA bundle). Sur cette page, nous essayons de mettre à jour des certificats intermédiaires utilisés, mais leur utilisation actuelle ne peut pas être garantie à 100%. Nous vous recommandons de toujours utiliser les certificats sous la commande dans votre espace client qui sont garantis par l'émetteur du certificat. Malgré tous nos efforts, il se peut qu'il y ait un changement qui ne sera pas pris en compte.

Ce qu'il faut éviter

N'utilisez jamais de certificats intermédiaires pour l'authentification, car ils peuvent changer de manière inattendue. Il est également déconseillé d'épingler les « bons certificats » intermédiaires dans les applications afin d'accepter les certificats prédéfinis. Cela peut entraîner des problèmes de non fonctionnement, notamment pour des applications mobiles (il suffit de changer l'émetteur du certificat). Si vous avez besoin de vérifier le certificat "attendu" sur les clients, utilisez toujours les données du certificat final qui ne peuvent pas être modifiées. Les différents certificats intermédiaires sont utilisés en raison de la diversification facile des certificats émis, et à l'avenir, DigiCert prévoit de les alterner plus souvent.

Source :

  1. DigiCert ICA Update
  2. DigiCert Trusted Root Authority Certificates

Bianca Cordonnier
Spécialiste des certificats de sécurité SSL
Expert certifié TLS
e-mail: bianca.cordonnier(at)zoner.com