Comment remplacer la racine CAcert Classe 1 signée MD-5 par la racine CAcert Classe 1 signée SHA256

Les principaux navigateurs n'acceptent pas les certificats (y compris les certificats root auto-signés) signés avec l'algorithme MD-5, après le 31 décembre 2016. La raison en est que l'algorithme MD-5 n'est plus considéré aujourd'hui comme l'algorithme sûr. C'est aussi la raison pour laquelle il a été remplacé par le certificat racine signé SHA256 de CAcert.

Contexte

Le certificat racine signé SHA256 de CAcert est tout à fait équivalent au certificat racine signé MD-5 de CAcert, en ce qui concerne les questions techniques. Les principales différences entre la racine SHA256 signée Class 1 et la racine MD-5 signée Class 1 sont les suivantes:

La procédure

En bref: le remplacement est possible, simple et ne pose aucun problème tant pour les OS que pour les navigateurs. Le processus de remplacement est simple comme bonjour et ce fait en trois pas:

  1. Téléchargez et enregistrez le fichier racine SHA256 signé CAcert Class 1. Sélectionnez le format que votre système ou navigateur peut utiliser.
  2. Importez la racine téléchargée dans votre système d'exploitation ou votre navigateur (par exemple, utilisez l'utilitaire système ou le Gestionnaire de certificats intégré).
  3. Supprimer l'ancienne racine signée MD-5 signée CAcert Class 1. Vérifiez son numéro de série 000000 avant.

Il a été prouvé que la procédure de remplacement ne cause aucun dommage. Il n'est pas nécessaire de modifier ou de réinstaller la racine de classe 3 CAcert ou tout certificat CAcert émis, car ceux-ci sont déjà signés SHA256. Les systèmes (Linux, Windows) et les navigateurs (Firefox) peuvent toujours créer les chaînes de certificats nécessaires.

La procédure, si les racines ont été installées par le paquet MSI pour MS Windows

  1. Si vous avez installé les racines CAcert en utilisant le paquet MSI, vous devez d'abord les désinstaller en utilisant le même paquet CAcert_Root_Certificates. msi (ou le nouveau, CAcert_Root_Certificates_256. msi). Si vous ne vous souvenez pas de la procédure de l'ancienne installation, exécutez le paquet (avec _256 dans son nom). s'il affiche trois possibilités standard (boutons Modifier, Réparer, Désinstaller), appuyez sur Désinstaller. Si la boîte de dialogue d'erreur apparaît (sans texte, boutons Oui/Non), appuyez sur Oui.
  2. Une fois la désinstallation terminée, lancez le nouveau paquet CAcert_Root_Certificates_256. msi, confirmez le contrat de licence et installez les racines. Encore une fois, si la boîte de dialogue "Erreur" apparaît, appuyez sur Oui.

La procédure pour le Kleopatra sous Linux

Le programme Kleopatra supprime le certificat racine avec toute la chaîne de caractères du certificat. Ainsi, il ne permet pas la substitution directe de l'ancien certificat racine. Vous devez suivre cette procédure:

  1. Exportez tous les certificats, qui vous sont délivrés, vers des fichiers de type <hash>. pem

  2. Supprimez le certificat racine CAcert (signée MD-5). De cette façon, vous supprimez également toute la chaîne de certificat, c'est-à-dire le certificat CAcert Class3 et tous vos certificats (vous avez des sauvegardes de l'étape 1).
  3. Importez le certificat racine CAcert CAcert Class1 SHA256 signé avec le numéro de série 0F (root_256. crt), et mettez-le en confiance.
  4. Importer le certificat CAcert intermediate Class3 (classe3. crt).
  5. Importez tous les certificats que vous avez exportés à l'étape 1.