Rotación de certificados de CA intermedia (ICA)

Rotación de certificados de CA intermedia (ICA)


El jueves 30 de julio, DigiCert comenzará el proceso de rotación de certificados de CA intermedia (ICA) cada 6 meses. La primera rotación será el 30 de julio de 2020 entre las 15:00 y las 17:00 UTC y comenzara con los ICA de las cadenas SHA-256 mixtas GeoTrust DV y RapidSSL DV.

Las autoridades de certificación (CA) utilizan certificados de CA (ICA) intermedia para emitir sus certificados SSL / TLS. El certificado ICA vincula su certificado con el certificado raíz de confianza, lo que permite a los navegadores y otras aplicaciones confiar en él.

¿Qué tengo que hacer?

La instalación de un certificado SSL / TLS debe ir acompañado siempre de la instalación de ICA correspondiente. Esta siempre ha sido la buena práctica recomendada para garantizar que los reemplazos de ICA pasen desapercibidos.

La rotación del 30 de julio afecta a los certificados GeoTrust DV y RapidSSL DV y no se requiere ninguna acción de su parte a menos que se encuentre en alguna de las siguientes situaciones:

  • Dispone de algún mecanismo que fija las versiones anteriores de los certificados de CA intermedios GeoTrust DV y RapidSSL DV.
  • Tiene hard-codeada la aceptación de las versiones anteriores de los certificados de CA intermedios GeoTrust DV y RapidSSL DV.
  • Opere un “certifícate truststore” que incluya las versiones anteriores de los certificados de CA intermedios GeoTrust DV y RapidSSL DV.

    • Si se encuentra en alguna de las situaciones comentadas, le recomendamos que actualice su entorno lo antes posible para dejar de fijar y hard-codear los ICA o realizar los cambios necesarios para garantizar que los certificados GeoTrust DV y RapidSSL DV emitidos por los nuevos ICA sean confiables (en otras palabras, puedan encadenarse a su raíz de confianza).

    Para descargar Certificados Raiz de DigiCert y certificados intermedios, consulte la página DigiCert Trusted Root Authority Certificates.

    LA IMPLEMENTACION DE NUEVOS ICA NO AFECTA LOS CERTIFICADOS EXISTENTES. No se elimina el antiguo ICA hasta que todos los certificados emitidos hayan expirado. Esto significa que los certificados activos emitidos por el ICA reemplazado continuarán siendo confiables.

    GeoTrust DV / RapidSSL DV Reemplazos de certificados CA intermedios

    ICAs Actuales

    GeoTrust RSA CA 2018 (SHA256RSA)

    RapidSSL RSA CA 2018 (SHA256RSA)

    ICAs Nuevas

    GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1

    RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1

    Estas CAs intermedias se encadenan al certificado CA raíz de DigiCert.

    DigiCert está implementando esta nueva política para:

  • Promover la agilidad del cliente en el reemplazo de ICA.
  • Reducir el alcance de la emisión de certificados de cualquier ICA para mitigar el impacto de los cambios en la industria y las directrices del CA /Browser Foro para los certificados de entidades intermedias y finales.