Improve this translation, if you can! Thank you for beeing an active part of the CAcert community.


Hoe MD-5 ondertekende CAcert Categorie 1-wortel vervangen door de CA 1-wortel van CAcert, gesigneerde CAcert Categorie 1-wortel van SHA256

De belangrijkste browsers accepteren geen certificaten (inclusief root self-signed certificaten) die ondertekend zijn met het MD-5-algoritme, na 20161231. De reden hiervoor is dat het MD-5-algoritme tegenwoordig niet meer als het veilige wordt beschouwd. Dit is ook de reden om het te vervangen door het ondertekende CAcert root certificaat SHA256.

Achtergrond

Het door SHA256 ondertekende CAcert root-certificaat is qua technische aspecten vrijwel gelijk aan de MD-5 ondertekende CAcert root één. De belangrijkste verschillen tussen de door SHA256 gesigneerde Class 1-wortel en de door MD-5 gesigneerde Class 1-wortel zijn de volgende:

De procedure

Kortom: de vervanging is mogelijk, eenvoudig en probleemloos voor OSes en browsers. Het proces van de vervanging is volledig eenvoudig als 1-2-3:

  1. Download en sla het SHA256 ondertekende CAcert Class 1 rootbestand op. Selecteer het formaat dat uw systeem of browser kan gebruiken.
  2. Importeer de gedownloade root in uw OS of browser (bijvoorbeeld gebruik de systeemhulpprogramma's of embedded Certificate Manager).
  3. Verwijder de voormalige MD-5 ondertekende CAcert Class 1 root. Controleer voordien het serienummer 0000000000.

Het is bewezen dat de vervangingsprocedure geen schade berokkent. Het is niet nodig om de Class 3 CAcert root of een door CAcert afgegeven certificaat te wijzigen of opnieuw te installeren, aangezien deze reeds zijn ondertekend door SHA256. Systemen (Linux, Windows) en browsers (Firefox) zijn nog steeds in staat om certificaatketens te creëren die nodig zijn.

De procedure, als de wortels door het MSI-pakket voor MS Windows zijn geïnstalleerd

  1. Als u CAcert roots hebt geïnstalleerd met behulp van het MSI-pakket, moet u deze eerst verwijderen met hetzelfde pakket CAcert_Root_Certificates. msi (of de nieuwe CAcert_Root_Certificates_256. msi). Als u zich de procedure van de vorige installatie niet herinnert, voer dan het pakket (met _256 in zijn naam) uit. Als het drie standaardmogelijkheden laat zien (knopjes wijzigen, repareren, verwijderen) drukt u op Verwijderen. Als het dialoogvenster Fout verschijnt (met geen tekst, toetsen Ja/Nee) drukt u op Ja.
  2. Nadat de installatie is voltooid, voert u het nieuwe pakket CAcert_Root_Certificates_256. msi uit, bevestigt u de licentieovereenkomst en installeert u de wortels. Nogmaals, als het dialoogvenster "Error" verschijnt, drukt u op Ja.

De procedure voor de Kleopatra in Linux

Het Kleopatra-programma verwijdert het basiscertificaat met de hele certificaatreeks. Het is dus niet toegestaan het oude wortelcertificaat rechtstreeks te vervangen. U moet deze procedure volgen:

  1. Exporteer alle certificaten, afgegeven aan u, naar bestanden van het type <hash>. pem

  2. Verwijder het CAcert root-certificaat (MD-5 ondertekend). Op die manier verwijdert u ook alle certificaatreeksen, d. w. z. het CAcert Class3-certificaat en al uw certificaten (u hebt back-ups van stap 1).
  3. Importeer het CAcert root-certificaat CAcert Class1 SHA256, ondertekend met serienummer 0F (root_256. crt), en stel het betrouwbaar in.
  4. Invoer van het CAcert Intermediair klasse 3-certificaat (klasse 3. crt).
  5. Importeer alle aan u afgegeven certificaten die u in stap 1 hebt geëxporteerd.