Proč a jak nahradit kořenové certifikáty CAcert tříd 1 a 3

Nejpoužívanější prohlížeče již od data 20161231 nepřijímají certifikáty (včetně kořenových, podepsaných samy sebou - self-signed) podepsané použitím algoritmu MD-5. Důvodem je, že algoritmus MD-5 dnes už není považován za bezpečný. Je tedy třeba nahradit ho kořenovým certifikátem CAcert třídy 1 podepsaným použitím algoritmu SHA256.

Tento článek popisuje:

  1. Proč a jak nahradit kořenový certifikát CAcert třídy 1 podepsaný MD-5 kořenovým certifikátem CAcert třídy 1 podepsaným SHA256
  2. Proč a jak nahradit zprostředkující kořenový certifikát CAcert třídy 3

Výchozí fakta

Kořenový certifikát CAcert třídy 1 podepsaný SHA256 je po technické stránce zcela shodný s dosud používaným kořenovým certifikátem CAcert podepsaným MD-5. Hlavní rozdíly mezi nimi jsou tyto:

Zprostředkující certifikát CAcert třídy 3 pořadové číslo 0A418A podepsaný SHA256 obsahuje odkaz na kořenový certifikát CAcert číslo 000000 (podepsaný MD-5). To by mohlo vést programy, například prohlížeče, při sestavování řetězu certifikátů (od Vašeho ke kořenovému) ke stažení původního certifikátu třídy 1 podepsaného s použitím zastaralého algoritmu MD-5. Proto je vhodné nahradit i certifikát třídy 3. Rozdíly:

Dne 20190410 (10. dubna 2019) byly na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěny kořenové certifikáty podepsané algoritmem SHA256. Názvy souborů pro stažení jsou: root_X0F (kořenový třídy 1) a class3_X0E (kořenový třídy 3). Číslo za X udává unikátní pořadové číslo certifikátu, tedy 00000F a 00000E. Uživatelům CAcert doporučujeme podle následujícího návodu zaměnit oba starší certifikáty (s pořadovými čísly 000000 a 0A418A) za tyto nové.

Postup

Ve stručnosti: náhradu lze snadno a bez problémů provést jak v operačních systémech (OS), tak v prohlížečích nebo jejich pomocí. Postup je úplně jednoduchý:

  1. Stáhněte si ze stránky http://www.cacert.org/index.php?id=3 (případně FAQ/CZ) a jako soubor uložte oba kořenové certifikáty CAcert podepsané SHA256. Pro stažení zvolte formát, který Váš systém nebo prohlížeč používá.

  2. Importujte (instalujte) stažené certifikáty ze souboru do svého OS nebo prohlížeče (tj. buď systémovou utilitou, nebo Správcem certifikátů [Certificate Manager], který je součástí mnoha prohlížečů). Napřed instalujte certifikát třídy 1 (root_X0F) a potvrďte, že je důvěryhodný. Potom instalujte certifikát třídy 3 (class3_X0E).
  3. Odstraňte původní kořenový certifikát CAcert třídy 1. Napřed pro jistotu zkontrolujte, že má pořadové číslo 000000.
  4. Odstraňte i původní zprostředkující certifikát CAcert třídy 3. Napřed pro jistotu zkontrolujte, že má pořadové číslo 0A418A.

Ověřili jsme, že procedura náhrady nezpůsobí žádnou škodu.

Není třeba měnit nebo reinstalovat jakýkoli CAcertem Vám vydaný certifikát, protože ty všechny jsou již podepsány pomocí algoritmu SHA256. Operační systémy (Linux, Windows, Android,...) a prohlížeče (Firefox,...) si budou moci vybudovat potřebné řetězce certifikátů i nadále.

Postup, pokud jste použili instalační balíček pro Windows

Jestliže jste instalovali kořenové certifikáty MSI balíčkem pro Windows, bude nejprve nutno je odinstalovat tímtéž balíčkem CAcert_Root_Certificates.msi (nebo novým CAcert_Root_Certificates_X0F_X0E.msi). Pokud si svůj postup původní instalace už nepamatujete, spusťte nový balíček. Jestliže po spuštění ukáže 3 standardní možnosti (Změnit, Opravit, Odinstalovat), zvolte odinstalaci. Objeví-li se dialog Chyba (bez textu, s tlačítky Ano/Ne), zvolte Ano.

Je také možno ručně odinstalovat kořenový a zprostředkující certifikát, dále najít tento klíč Registru:

a pokud existuje, smazat ho.

Po ukončení deinstalace spusťte nový balíček CAcert_Root_Certificates_X0F_X0E.msi, potvrďte souhlas s licenční dohodou a certifikáty nainstalujte. Objeví-li se i zde dialog Chyba, postupujte stejně - stiskněte Ano.

Postup, pokud používáte Kleopatru v Linuxu

Kleopatra smaže spolu s kořenovým certifikátem celý navázaný řetězec certifikátů a nedovoluje tedy přímou náhradu kořenového certifikátu.
Proto je třeba dodržet tento postup:

  1. Exportujte všechny osobní certifikáty do souborů <haš>.pem

  2. Smažte kořenový certifikát CAcert. Zároveň se smaže celý řetězec certifikátů, tedy zprostředkující certifikát třídy 3 a Vaše certifikáty, jejichž zálohy máte z prvního kroku.
  3. Importujte kořenový certifikát CAcert třídy 1 podepsaný SHA256 s pořadovým číslem 0F (root_X0F.crt), povolte jeho důvěryhodnost.
  4. Importujte zprostředkující certifikát CAcert třídy 3 podepsaný SHA256 s pořadovým číslem 0E (class3_X0E.crt)
  5. Importujte všechny svoje certifikáty, které jste exportovali v kroku 1.


HowTo/ReplaceCAcertRootCertificate/CZ (last edited 2019-04-11 08:43:36 by AlesKastner)