• HowTo
• ReplaceCAcertRootCertificate
• ES

• česky | deutsch | english | español | français | italiano | nederlands | polski |

Cómo reemplazar la raíz firmada MD-5 CAcert Class 1 con la raíz firmada SHA256 CAcert Class 1 root

Los principales navegadores no aceptan certificados (incluyendo los certificados autofirmados de root) firmados utilizando el algoritmo MD-5, después de 2016-1231. La razón es que el algoritmo MD-5 ya no se considera seguro hoy en día. Esta es también la razón para reemplazarlo con el certificado raíz de CAcert firmado por SHA256.

Antecedentes

El certificado raíz de CAcert firmado por el SHA256 es bastante igual al certificado raíz de CAcert firmado por el MD-5, en lo que se refiere a cuestiones técnicas. Las principales diferencias entre la raíz firmada SHA256 y la raíz firmada MD-5 son las siguientes:

• por supuesto el algoritmo de firma: SHA256 en lugar de MD-5,
• número de serie: 00000F en lugar de 000000,
* SHA-1 huella digital:? dd: fc: da: 54:1e: 75:77: ad: dc: a8:7e: 88:27: a9:8a: 50:60:32:52: a5 (en lugar de 13:5C: CE: 36: F4:9C: B8: E9:3B: 1A: 1A: B2:70: CD: 80:88:46:76

El procedimiento

En resumen: el reemplazo es posible, sencillo y no supone ningún problema tanto para los sistemas operativos como para los navegadores. El proceso de la sustitución es totalmente sencillo como 1-2-3:

1. Descargue y guarde el archivo raíz firmado del SHA256 CAcert Class 1 firmado. Seleccione el formato que su sistema o navegador puede utilizar.
2. Importe la raíz descargada en su sistema operativo o navegador (por ejemplo, utilice la utilidad del sistema o el Administrador de certificados integrado, respectivamente).
3. Elimine la raíz anterior firmada por MD-5 CAcert Class 1 root. Verifique su número de serie 000000 antes.

Se ha comprobado que el procedimiento de sustitución no hace ningún daño. No hay necesidad de cambiar o reinstalar ni la raíz del CAcert de Clase 3 ni ningún certificado emitido por CAcert, ya que los certificados ya están firmados por SHA256. Los sistemas (Linux, Windows) y navegadores (Firefox) todavía pueden crear cadenas de certificados necesarias.

El procedimiento, si el paquete MSI instaló root para MS Windows

1. Si ha instalado CAcert root usando el paquete MSI, primero tiene que desinstalarlos usando el mismo paquete CAcert_Root_Certificates. msi (o el nuevo, CAcert_Root_Certificates_256. msi). Si no recuerda el procedimiento de la instalación anterior, ejecute el paquete (con _256 en su nombre). si muestra tres posibilidades estándar (botones Cambiar, Reparar, Desinstalar), pulse Desinstalar. Si aparece el cuadro de diálogo de error (sin texto, botones Sí/No), pulse Sí.
2. Una vez finalizada la desinstalación, ejecute el nuevo paquete CAcert_Root_Certificates_256. msi, confirme el acuerdo de licencia e instale las raíces. De nuevo, si aparece el cuadro de diálogo "Error", pulse Sí.

El procedimiento para el Kleopatra en Linux

El programa Kleopatra elimina el certificado raíz con toda la cadena de certificados. Por lo tanto, no permite la sustitución directa del antiguo certificado raíz. Debe seguir este procedimiento:

1. Exportar todos los certificados, expedidos a usted, a archivos de tipo <hash>. pem

2. Elimine el certificado raíz de CAcert (firmado MD-5). De este modo, también puede eliminar toda la cadena de certificados, es decir, el certificado CAcert Class3 y todos los certificados (tiene copias de seguridad desde el paso 1).
3. Importe el certificado raíz CAcert CAcert Class1 SHA256 firmado con el número de serie 0F (root_256. crt) y fíjelo de forma fiable.
4. Importar el certificado CAcert intermediate Class3 (clase 3. crt).
5. Importe todos los certificados emitidos que haya exportado en el paso 1.

• CategoryCertificate