El 30 de mayo de 2020 caducará el certificado raíz de Sectigo (Comodo), denominado AddTrust External CA Root, ampliamente utilizado. Este certificado está activo desde el 30 de mayo de 2000 y ha recibido un amplio apoyo desde su lanzamiento. El sucesor de este certificado raíz se denomina Comodo RSA Certification Authority Root y expirará en 2038. Este artículo explica cómo funciona la eliminación progresiva del certificado raíz y por qué no es necesario realizar ninguna acción adicional en el lado del servidor.
Cadena de confianza
Cada certificado SSL se emite bajo un certificado raíz. Los certificados raíz son certificados autofirmados verificados por una CA como Sectigo e incluidos en el almacén raíz de confianza de un navegador. Esto es importante para la compatibilidad con certificados SSL: cuando más navegadores confíen en un certificado raíz, más se confiará en los certificados SSL emitidos bajo este certificado raíz.
Entre un certificado raíz y un certificado SSL hay uno o varios certificados intermedios. Juntos, proporcionan una cadena completa («cadena de confianza») del certificado raíz. Al utilizar certificados intermedios, no es necesario que el propio certificado raíz firme un certificado. De este modo, el certificado raíz puede permanecer fuera de línea, lo que lo hace menos vulnerable al uso indebido. Los certificados intermedios pueden considerarse señales hacia el certificado raíz. Un certificado SSL está firmado por un intermediario y éste por el certificado raíz. No instalarlo puede provocar en algunos casos errores al visitar la página en la que está activo el certificado.
Firma cruzada
Crear una buena compatibilidad de una nueva raíz lleva tiempo. Por lo tanto, los certificados SSL de Sectigo están firmados de forma cruzada bajo dos certificados raíz diferentes, el anteriormente mencionado Addtrust External CA root con una validez hasta mayo de 2020 y el relativamente nuevo – y debido a esto menos ampliamente soportado – Comodo RSA Certification Authority root certificate válido hasta mayo de 2038.
Además, la Autoridad de Certificación Comodo RSA ha emitido otro certificado provisional. El nombre de este intermediario depende del certificado SSL firmado que tenga debajo. Por ejemplo, el nombre del intermediario que firma los certificados EV es COMODO RSA EV Secure Server CA . Este último producto intermedio está firmado tanto por el certificado intermedio de la autoridad de certificación Comodo RSA como por el certificado principal del mismo nombre, lo que también se conoce como firma cruzada. Gracias a la técnica de firma cruzada, se conocen dos certificados raíz válidos y pueden utilizarse ambos.
¿Se puede seguir confiando en el certificado Sectigo (Comodo)?
Debido a la compatibilidad y a la amplia compatibilidad de los navegadores con el certificado raíz de Addtrust External CA, se sigue ofreciendo este certificado raíz. Cuando caduque y un cliente ya tenga la raíz de la autoridad de certificación Comodo RSA en su raíz de confianza, se utilizará automáticamente. En consecuencia, la instalación de la raíz antigua a partir del 30 de mayo de 2020 no causará ningún problema. Verá que los clientes más recientes que están familiarizados con la raíz de la Autoridad de Certificación Comodo RSA ya la están utilizando. Hoy en día, los certificados se expiden con una validez máxima de dos años. Como resultado, el certificado puede tener un periodo de validez más largo que el certificado raíz que está utilizando. Utilizando la técnica del canto cruzado, esto no causa ningún problema.
Algunos visitantes siguen utilizando dispositivos heredados. Por lo tanto, recomendamos utilizar la cadena antigua. A partir del 30 de mayo de 2020, los dispositivos heredados que no tengan la nueva raíz en la raíz de confianza darán, lamentablemente, un error.
Nota: Un servidor Windows proporciona automáticamente la cadena más corta. Es posible desactivar el nuevo certificado raíz hasta que caduque el certificado raíz de Addtrust External CA.
La siguiente lista muestra todas las versiones mínimas de software que no tendrán problemas. Todos los navegadores y sistemas operativos anteriores a las versiones indicadas a continuación no contienen los nuevos certificados raíz y pueden dar errores.
Apple:
Beta pública 2 de macOS Sierra 10.12.1
iOS 10
Windows XP
Windows Phone
Mozilla:
Firefox 3.0.4
Firefox 36
Google:
Android 2.3
Android 5.1
Oráculo:
Java JRE 8h51
Ópera:
Lanzamientos de navegadores posteriores a diciembre de 2012
Navegador 360:
SE 10.1.1550.0 y Extreme browser 11.0.2031.0
Este entorno de prueba le permite comprobar si su instalación está causando problemas. Para ello, debe ajustar el reloj a una fecha posterior al 1 de junio de 2020.
Solapamiento de nombres y fechas de caducidad
Bajo la antigua raíz ‘Addtrust External CA’, está presente el intermediario ‘Comodo RSA Certification Authority’. Tanto la «raíz» como la «intermedia» expiran el 30 de mayo de 2020. Además, el certificado que caduca tiene el mismo nombre que el nuevo certificado raíz de la Autoridad de Certificación Comodo RSA.
Huellas dactilares
Cada certificado tiene su propia huella digital. De los certificados anteriores, estos son:
Addtrust CA Raíz Externa certificado raíz:
02faf3e291435468607857694df5e45b68851868
Autoridad de certificación Comodo RSA certificado intermedio:
f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0
Autoridad de certificación Comodo RSA certificado raíz:
afe5d244a8d1194230ff479fe2f897bbcd7a8cb4
De este modo, podrá comprobar con certeza qué certificado está presente en el servidor.
