Certificats TLS par Symantec dans une nouvelle infrastructure et incorporation avec DigiCert

Les certificats TLS de l'autorité de certification Symantec seront intégrés dans une nouvelle infrastructure qui résultera de la fusion de PKI de Symantec avec la société DigiCert. Cette fusion rendra nécessaire la réémission des certificats actuels. Dans le texte suivant, nous vous fournirons toutes les informations importantes.

Nouvelle infrastructure PKI

À la suite des coentreprises, les produits PKI (dénommés Website Security Solutions) et les actifs de Symantec fusionneront avec l'autorité de certification DigiCert. DigiCert servira les certificats Symantec en tant qu'autorité de certification subordonnée (Sub-CA) qui effectuera la vérification des certificats pour Symantec. Toutes les autres étapes du processus d'émission ne seront pas affectées et les clients pourront obtenir leurs certificats comme d'habitude.

L'avantage de ce changement est que les deux CA se concentreront uniquement sur l'émission de certificats TLS, ce qui simplifiera et accélérera le processus.

Jusqu'à présent, DigiCert se concentrait principalement sur les clients d'entreprise - en raison du changement, la société sera désormais en mesure d'étendre ses opérations en incluant les clients finaux, tandis que les clients de Symantec pourront choisir parmi une plus large gamme de produits, des certificats seront ajoutés, ce que Symantec n'a pas jamais proposé, comme les solutions S / MIME.

Les deux autorités de certification seront fusionnées en une société après l'achèvement de la transaction (Q3 2018). Vous pouvez donc anticiper une offre élargie dans un avenir proche, qui inclura également les produits actuels de DigiCert. Les certificats SSL / TLS de Symantec ne seront évidemment pas modifiés.

La raison de changer l'infrastructure est le conflit avec Google. Le géant de l'Internet voulait retirer dans Chrome la confiance des certificats délivrés sans Certificate Transparency, et plus tard aussi des certificats émis dans l'ancienne PKI par Symantec. L'opération en cours résoudra le problème et il n'y aura aucun problème avec les certificats émis dans la nouvelle infrastructure PKI.

La modification de la nouvelle infrastructure PKI par Symantec et DigiCert nécessite une réémission des certificats concernés, ce qui est également nécessaire pour une fiabilité continue.

Lancement de la nouvelle infrastructure

La nouvelle infrastructure sera lancée le 1.12.2017. De nouveaux certificats racine seront fournis et ajoutés à toutes les listes des autorités de certification racine à partir de novembre. Les nouveaux certificats racine RSA 4096 et ECC 384 seront générés. Les produits seront diversifiés par des sous-AC (certificats intermédiaires).

La compatibilité avec les appareils plus anciens sera garantie par un second certificat racine de Verisign G5 (Appelé processus de signature croisée).

Réémissionsdes certificats actuels

Comme mentionné précédemment, la modification de la nouvelle infrastructure résoudra le conflit avec Chrome et les certificats ne poseront aucun problème. Les certificats émis avant la fusion seront réémis gratuitement - selon le scénario suivant:

  • Certificats délivrés avant 01.06.2016 avec une date d'expiration avant 13.09.2018 devrait être réémis immédiatement
  • Certificats délivrés avant 01.06.2016 avec une date d'expiration aprés 13.09.2018 devrait être réémis entre 01.12.2017 et 15.03.2018
  • Certificats délivrés avant 1.12.2017 avec une date d'expiration aprés 13.09.2018 devrait être réémis entre 01.12.2017 et 13.09.2018

La réémission est gratuite et peut être effectuée sur le portail client. Tous les paramètres des certificats - y compris la date d'expiration - resteront les mêmes.

Nous informerons nos clients de la réémission nécessaire de tous leurs certificats Vous recevrez une liste des certificats affectés pour chaque compte client.

Nous sommes heureux de vous aider avec le processus de réémission

Chaque client recevra une liste de certificats qui doivent être réémis dans les délais mentionnés. Vous trouverez l'option de lancer le processus de réémission après la connexion au portail client SSLmarket, mais vous pouvez également contacter notre service client à tout moment.

Si vous avez besoin d'un nouveau CSR pour la réémission - si vous utilisez un serveur Windows - vous pouvez le générer dans SSLmarket et créer un fichier PFX pour les serveurs Windows après l'émission du certificat.

Notez s'il vous plaît: les informations susmentionnées ne s'appliquent pas aux certificats Code Signing.