El 30 de mayo de 2020, caducará el certificado raíz de Sectigo (Comodo), llamado AddTrust External CA Root, ampliamente utilizado. Este certificado lleva activo desde el 30 de mayo de 2000 y ha recibido un amplio apoyo desde su lanzamiento. El sucesor de este certificado raíz se llama Comodo RSA Certification Authority Root y caducará en 2038. Este artículo explica cómo funciona la eliminación progresiva del certificado raíz y por qué no se requieren acciones adicionales en el lado del servidor.
Cadena de confianza
Cada certificado SSL se emite bajo un certificado raíz. Los certificados raíz son certificados autofirmados que son verificados por una CA como Sectigo e incluidos en el almacén raíz de confianza de un navegador. Esto es importante para el soporte de certificados SSL: cuando más navegadores confían en un certificado raíz, los certificados SSL emitidos bajo este certificado raíz serán más ampliamente fiables.
Entre un certificado raíz y un certificado SSL hay uno o varios certificados intermedios. Juntos, proporcionan una cadena completa («cadena de confianza») del certificado raíz. Al utilizar certificados intermedios, el propio certificado raíz no tiene que firmar un certificado. De este modo, el certificado raíz puede permanecer desconectado, lo que lo hace menos vulnerable al uso indebido. Los certificados intermedios pueden considerarse señales hacia el certificado raíz. Un certificado SSL está firmado por un intermediario y éste por el certificado raíz. No instalarlo puede, en algunos casos, provocar errores al visitar la página en la que está activo el certificado.
Firma cruzada
Crear la compatibilidad de una nueva raíz lleva tiempo. Por lo tanto, los certificados SSL de Sectigo están firmados de forma cruzada bajo dos certificados raíz diferentes, el anteriormente comentado Addtrust External CA root con una validez hasta mayo de 2020 y el relativamente nuevo -y por ello menos ampliamente soportado- Comodo RSA Certification Authority root certificate válido hasta mayo de 2038.
Además, la Autoridad de Certificación Comodo RSA ha emitido otro certificado intermedio. El nombre de este producto intermedio depende del certificado SSL firmado que tenga debajo. Por ejemplo, el nombre del intermediario que firma certificados EV es COMODO RSA EV Secure Server CA . Este último producto intermedio está firmado tanto por el certificado intermedio de la autoridad de certificación Comodo RSA como por el certificado principal homónimo del mismo nombre, lo que también se conoce como firma cruzada. Gracias a la técnica de firma cruzada, se conocen dos certificados raíz válidos y se pueden utilizar ambos.
¿Se puede seguir confiando en el certificado Sectigo (Comodo)?
Debido a la compatibilidad y a la amplia compatibilidad de los navegadores con el certificado raíz Addtrust External CA, este certificado raíz se sigue ofreciendo. Cuando caduque y un cliente ya tenga la raíz de la Autoridad de Certificación Comodo RSA en su raíz de confianza, se utilizará automáticamente. Por tanto, instalar la raíz antigua a partir del 30 de mayo de 2020 ya no causará ningún problema. Verás que los clientes más recientes que ya están familiarizados con la raíz de la Autoridad de Certificación Comodo RSA ya la utilizan. Hoy en día, los certificados se emiten con una validez máxima de dos años. En consecuencia, el certificado puede tener un periodo de validez más largo que el certificado raíz que estés utilizando. Utilizando la técnica de «cross-singing», esto no causa ningún problema.
Algunos visitantes todavía utilizan dispositivos antiguos. Por lo tanto, en WP Provider recomendamos utilizar la antigua cadena. A partir del 30 de mayo de 2020, los dispositivos heredados que no tengan la nueva raíz en la raíz de confianza darán lamentablemente un error.
Nota: Un Servidor Windows proporciona automáticamente la cadena más corta. Es posible desactivar el nuevo certificado raíz hasta que caduque el certificado raíz de la CA externa Addtrust.
La lista siguiente muestra todas las versiones mínimas de software que no darán problemas. Todos los navegadores y sistemas operativos anteriores a las versiones indicadas a continuación no contienen certificados raíz nuevos y pueden dar errores.
Manzana:
macOS Sierra 10.12.1 Beta pública 2 iOS 10 Windows XP Windows Phone Mozilla:
Firefox 3.0.4 Firefox 36 Google:
Android 2.3 Android 5.1 Oracle:
Java JRE 8u51 Opera:
Lanzamientos del navegador después de diciembre de 2012 Navegador 360:
SE 10.1.1550.0 y Extreme browser 11.0.2031.0 Este entorno de prueba te permite comprobar si tu instalación está causando algún problema.
Para ello, debes ajustar el reloj a una fecha posterior al 1 de junio de 2020.
Solapamiento de nombres y fechas de caducidad
Bajo la antigua «Addtrust External CA» raíz, está presente la «Comodo RSA Certification Authority» intermedia. Tanto el «raíz» como el «intermedio» caducan el 30 de mayo de 2020. Además, el certificado que caduca tiene el mismo nombre que el nuevo certificado raíz de la Autoridad de Certificación Comodo RSA.
Huellas dactilares
Cada certificado tiene su propia huella digital única. De los certificados anteriores, éstos son:
Addtrust CA Raíz Externa certificado raíz:
02faf3e291435468607857694df5e45b68851868
Autoridad de certificación Comodo RSA certificado intermedio:
f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0
Autoridad de certificación Comodo RSA certificado raíz:
afe5d244a8d1194230ff479fe2f897bbcd7a8cb4
De este modo, podrás comprobar con certeza qué certificado está presente en el servidor.
