Uitfasering Addtrust External CA Root certificaat

Op 30 mei 2020 verloopt het veelgebruikte Sectigo (voorheen Comodo) root certificaat, genaamd AddTrust External CA Root, verlopen. Dit root certificaat is al vanaf 30 mei 2000 actief en door de jaren heen een breed ondersteund root certificaat geworden. De opvolger van dit verlopende root certificaat is de Comodo RSA Certification authority, geldig tot 2038. In dit artikel leggen we je uit hoe de uitfasering werkt en waarom de overgang naar het nieuwe root certificaat geen extra handelingen op de server vereist.

Chain of Trust

Elk SSL certificaat wordt uitgegeven onder een root certificaat. Root certificaten zijn self-signed certificaten die in beheer zijn van een CA zoals Sectigo, en worden in de trusted root store van browsers opgenomen. Dit is van belang voor de ondersteuning van certificaten: In hoe meer browsers een root certificaat wordt vertrouwd, hoe breder het certificaat wat hieronder is uitgegeven wordt ondersteund.

Tussen een root certificaat en een SSL certificaat zitten een of meerdere intermediate certificaten, zij zorgen voor een complete keten ('chain of trust') tot het root certificaat. Door het gebruik van intermediate certificaten hoeft het root certificaat zelf niet te signen en hoeft hierdoor niet online beschikbaar te zijn. Dit maakt het root certificaat minder kwetsbaar voor misbruik. Intermediate certificaten kunnen als de bewegwijzering richting het root certificaat worden gezien: een SSL certificaat is ondertekenend door de intermediate, en de intermediate door het root certificaat. Het niet installeren van intermediate certificaten kan in sommige browsers leiden tot foutmeldingen. Een overzicht van de huidige root- en intermediate certificaten vind je hier.

Cross-signing

Een goede ondersteuning opbouwen van een nieuw root certificaat kost tijd. De Sectigo SSL certificaten zijn daarom cross-signed onder twee verschillende root certificaten, het eerder besproken Addtrust External CA root geldig tot mei 2020 en het relatief nieuwe - en hierdoor nog minder breed ondersteunde - Comodo RSA Certification authority certificaat geldig tot mei 2038.

Daarnaast heeft het Comodo RSA Certification authority intermediate certificaat nog een intermediate certificaat uitgeven. De naam van dit intermediate certificaat is afhankelijk van het type SSL certificaat wat eronder staat, bij de EV certificaten is dit bijvoorbeeld de COMODO RSA EV Secure Server CA intermediate. Dit laatste intermediate certificaat is gesigned door zowel het Comodo RSA Certification authority intermediate als het gelijknamige root certificaat, ook wel cross-signing genoemd. Omdat het SSL certificaat via deze cross-signing techniek twee geldige root certificaten kent, zijn beide root certificaten te gebruiken.

Blijft mijn Sectigo (Comodo) certificaat vertrouwd?

Vanwege de compatibiliteit en brede browserondersteuning van het Addtrust External CA root certificaat bieden wij deze nog steeds aan. Wanneer deze komt te vervallen en een cliënt het nieuwere Comodo RSA Certification authority root ook in de trusted root heeft staan, zal hier automatisch gebruik van worden gemaakt. Het installeren van het oude root leidt vanaf 30 mei 2020 hierdoor dus niet tot problemen. Je zult zien dat nieuwere clients die het Comodo RSA Certification authority root al kennen, deze nu ook al gebruiken. SSL certificaten worden voor maximaal twee jaar uitgegeven, het kan daarom zo zijn dat jouw certificaat langer geldig is dan het bovenliggende -oude- root certificaat. Dit kan door de cross-signing dus geen kwaad.

In verband met bezoekers met legacy devices raden we je aan de oudere chain te gebruiken. Vanaf 30 mei 2020 zullen legacy devices waarin het nieuwe Sectigo root certificaat niet is opgenomen helaas een foutmelding geven.

Let op: Windows server biedt automatisch de kortste chain aan, je kan er daarom voor kiezen om het nieuwe root certificaat buiten gebruik te stellen tot het Addtrust External CA root certificaat is uitgefaseerd.

Onderstaande lijst toont alle minimale versies van software die geen problemen zullen ondervinden. Alle browsers en besturingssystemen die ouder zijn dan deze versies bevatten de nieuwe root certificaten nog niet en kunnen na 30 mei dus foutmeldingen geven.

Apple:

  • macOS Sierra 10.12.1 Public Beta 2
  • iOS 10

Microsoft:

  • Windows XP
  • Windows Phone

Mozilla:

  • Firefox 3.0.4
  • Firefox 36

Google:

  • Android 2.3
  • Android 5.1

Oracle:

  • Java JRE 8u51

Opera:

  • Browser releases na december 2012

360 Browser:

  • SE 10.1.1550.0 en Extreme browser 11.0.2031.0

Met deze testomgeving kun je controleren of jouw setup problemen gaat geven. Je zult hiervoor de klok in je besturingssysteem moeten aanpassen naar een datum na 1 juni 2020

Overlap in naamgeving en verloopdatum

Onder de oude Addtrust External CA root staat de Comodo RSA Certification authority intermediate. Zowel deze root- als intermediate verlopen per 20 mei 2020. Daarnaast heeft deze verlopende intermediate dus dezelfde naam als het nieuwe en dezelfde naam heeft als het nieuwe Comodo RSA Certification authority root certificaat.

Thumbprints

Elk certificaat heeft zijn eigen unieke thumbprint. Van bovengenoemde certificaten zijn dit:

Addtrust External CA Root root certificaat:

02faf3e291435468607857694df5e45b68851868

Comodo RSA Certification Authority intermediate certificaat:

f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0

Comodo RSA Certification Authority root certificaat:

afe5d244a8d1194230ff479fe2f897bbcd7a8cb4

Op deze manier kun je met zekerheid controleren welk certificaat aanwezig is op de server.

point up