česky | english


Zprostředkující certifikáty třídy 3 - časté otázky členů a uživatelů

CAcert se pustil do prozatímního projektu znovupodepsání (re-sign) kořenového certifikátu třídy 3. Projekt je inspirován prohlášením Mozilly: Termíny pro postupné ukončení signatur dle MD5 a 1024-bitových modulo. Členové komunity z projektových týmů Software-Assessment a Critical System Administrators dostáli výzvě k přípravě, testu a implementaci procedury pro znovupodepsání zprostředkujícího certifikátu třídy 3.

Záměrem je podepsat certifikát třídy 3 novým SHA256 a zveřejnit jej. Klíče vydaného zprostředkujícího certifikátu třídy 3 jsou stále platné, protože soukromý klíč zmíněného certifikátu je stále nedotčen. Ve svém průběhu a účinku se to podobá obnově certifikátu. Všichni uživatelé, používající starší zprostředkující kořenový certifikát třídy 3, ho musí vyměnit za nový zprostředkující certifikát jak ve svém prohlížeči, tak e-emailovém klientu, případně v serveru (pouze jednou).

CZ-Class3-subroot-public-key-renewal2-600x321.jpg

Termínová linie projektu

Tisková zpráva


česky - English - German - Dutch - French - Spanish - Russian



Znovupodepsání zprostředkujícího certifikátu třídy 3 - Tisková zpráva

Tisková zpráva CAcert

4. června 2011

Nové podpisy pro zprostředkující kořenový certifikát CAcert - změny pro uživatele certifikátů CAcert

CAcert se chystá znovu podepsat svůj zprostředkující certifikát třídy 3 xx. června novým podpisem založeným na algoritmu SHA-256. Podpis založený na algoritmu MD5 na původním certifikátu už není bezpečný pro Mozillu a je proto zastaralý. Mozilla se chystá ukončit podporu zprostředkujících a koncových certifikátů třídy 3 s podpisem založeným na algoritmu MD5 po 30. červnu 2011. Uživatelé produktů Mozilla, jako Firefoxu a Thunderbirdu, mohou dostat chybové hlášení, když se tyto programy pokusí ověřit takové certifikáty.

Správci webu a uživatelé certifikátů CAcert třídy 3 budou muset stáhnout a instalovat tyto nově podepsané certifikáty z webu CAcert, www.cacert.org. Stejnou proceduru použijí i pro certifikát třídy 3, který mají pro zabezpečení e-mailové komunikace či pro podpis kódu nebo dokumentů.

Celá procedura v kostce:

  1. Stáhněte si nový klíč PKI třídy 3 z http://www.cacert.org/index.php?id=3

  2. Buď ho instalujte přímo do prohlížeče, nebo do jiného klientského programu, pro nějž certifikát používáte, nebo ho uložte do konfiguračního adresáře SSL svého webového serveru. Pro Apache to může být: /etc/apache2/ssl/class3.crt (formát PEM)
  3. Ověřte kryptografický otisk SHA1 ("otisk prstu") staženého certifikátu:
    • AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE

    • Příklad příkazu na příkazovém řádku:
      • openssl x509 -fingerprint -noout -in class3.crt
    • Nebo najděte "otisk prstu" při importu certifikátu do webového prohlížeče
  4. Správce webu (webmaster) nyní znovu vytvoří potřebnou haš příkazem c_rehash nebo podobným

Použitím bezpečné haše SHA256 se CAcert soustřeďuje na pokračující zabezpečení Internetu. Bližší informace najdete na této stránce CAcert Wiki.


Dotaz: Ovlivní mě to?

Dotaz: Co teď musím udělat?

Dotaz: Musím znovu vytvořit své certifikáty třídy 3?

Dotaz: Můj e-mailový partner dostává upozornění, že můj certifikát třídy 3 způsobuje chybu

Dotaz: Dostanou moji e-mailoví partneři také upozornění, když mám certifikát vydaný s třídou 1?

Dotaz: Mám serverový certifikát vydaný kořenovým certifikátem CAcert třídy 1. Ovlivní mne to?

Dotaz: Mám instalovaný pouze serverový certifikát vydaný pod třídou 3. Ovlivní mne to?

Dotaz: Provozuji web s jedním z těch certifikátů třídy 3. Jak mohu pomoci svým uživatelům s přechodem?

Pravděpodobně v tom můžeme udělat více... příklad kódu? Příklad HTML? Příklad zveřejnění?

Dotaz: Proč neaktualizujete při jednom i kořenový certifikát třídy 1, také podepsaný MD5?

Dotaz: Nový zprostředkující certifikát třídy 3 nefunguje, ale starý zprostředkující certifikát třídy 3 ano?

Dotaz: Proč může být kořenový certifikát CAcert třídy 1 stále podepsán algoritmem MD5?

Odstoupení od MD5 a jeho náhrada SHA256 má reálný vliv od kořenového zprostředkujícího certifikátu třídy 3 níže (na všechny certifikáty tímto zprostředkujícím podepsané s použitím algoritmu SHA). Vynikající vysvětlení podává Benny Baumann - BenBE:

Přidejte svůj dotaz...


FAQ/Class3Resign/CZ (last edited 2015-11-25 15:47:39 by AlesKastner)