česky | english
Nové a archivní (zastaralé) kořenové certifikáty CAcert
Operační systémy a aplikace dnes (cca od 2018-01-01) aktivně odmítají starší certifikáty podepsané algoritmem MD-5 a ty tedy nejsou použitelné pro přístup k webovým serverům se zabezpečením HTTPS. Je proto chybou stáhnout a používat jakýkoli certifikát označený "podepsán MD-5". Zastarávání algoritmu MD-5 pro účely PKI (a certifikátů X.509) začalo roku 2011. Asi od konce roku 2016 nesmí být MD-5 pro certifikáty X.509 používán vůbec.
Pro vyřešení této situace podepsal CAcert svůj kořenový certifikát Root CA moderním a bezpečným algoritmem SHA256. Oba kořenové certifikáty CAcert, tj. kořenový c. třídy 1 i zprostředkující c. třídy 3, podepsané pomocí algoritmu SHA256, jsou jinak nezměněny (tytéž klíče, tatáž doba platnosti), až na změněné pořadové číslo u Class 1 a nový algoritmus podpisu. Jsou tedy plně kompatibilní se všemi certifikáty vydanými CA CAcert předtím.
Dne 20190410 (10. dubna 2019) byly na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěny kořenové certifikáty podepsané algoritmem SHA256. Názvy souborů pro stažení jsou: root_X0F (kořenový třídy 1) a class3_X0E (kořenový třídy 3). Číslo za X udává unikátní pořadové číslo certifikátu, tedy 00000F a 00000E. Uživatelům CAcert doporučujeme podle tohoto návodu zaměnit oba starší certifikáty (s pořadovými čísly 000000 a 0A418A) za tyto nové. |
Dne 20210710 (10. července 2021 byl na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěn zprostředkující kořenový certifikát Class3_x14E228.crt / .der / .txt, protože původnímu zprostředkujícímu certifikátu třídy 3 (Class3_X0E) vypršela datem 20210520 platnost. Číslo za x udává unikátní pořadové číslo certifikátu, tedy 14E228. Uživatelům CAcert doporučujeme podle tohoto návodu zaměnit starší certifikát (s pořadovým číslem 00000E) za tento nový. |
I tato stránka nabízí níže ke stažení jak kořenový certifikát třídy 1 "znovu podepsaný" SHA256 (#00000F), kterým nahradíte zastaralý kořenový certifikát třídy 1 podepsaný MD-5 (#000000). Od uvedeného data 2018-01-01 rozhodně použijte kořenový certifikát třídy 1 "znovu podepsaný" SHA256. Tato stránka rovněž nabízí zprostředkující certifikát třídy 3 (#14E228), kterým nahradíte starší zprostředkující certifikát třídy 3 (#00000E). Vysvětlení a postup najdete v tomto článku.
Jak snadno nahradit zastaralý kořenový certifikát podepsaný pomocí algoritmu MD-5 aktualizovaným kořenovým certifikátem podepsaným pomocí algoritmu SHA256? Postup najdete v tomto článku.
- Jak mohu importovat kořenový certifikát? Viz:
SHA256 kořenový certifikát CAcert podepsaný SHA256: pro Windows, pro OS.X, iOS a Linux - tvar PEM, binární - tvar DER
- kořenový certifikát třídy 1, sériové číslo 00000F, podpisový algoritmus SHA256
otisk prstu (kryptografický otisk) SHA1 = DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!
- kořenový certifikát třídy 1, sériové číslo 00000F, podpisový algoritmus SHA256
SHA256 zprostředkující certifikát CAcert podepsaný SHA256: pro Windows, pro OS.X, iOS a Linux - tvar PEM, binární - tvar DER
- kořenový certifikát třídy 3, sériové číslo 14E228, podpisový algoritmus SHA256
otisk prstu (kryptografický otisk) SHA1 = D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8
Před instalací zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.
- kořenový certifikát třídy 3, sériové číslo 14E228, podpisový algoritmus SHA256
SHA256 zprostředkující certifikát CAcert podepsaný SHA256: pro Windows, pro OS.X, iOS a Linux - tvar PEM, binární - tvar DER
- kořenový certifikát třídy 3, sériové číslo 00000E, podpisový algoritmus SHA256
otisk prstu (kryptografický otisk) SHA1 = A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0
Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.
- kořenový certifikát třídy 3, sériové číslo 00000E, podpisový algoritmus SHA256
SHA256 kořenové certifikáty v jednom balíčku platné k datu 15.05.2021: CAcert_chain_X0F_X14E228.pem, obsahuje certifikáty:
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
otisk prstu SHA1 = DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!
- kořenový třídy 3 (zprostředkující), sériové číslo 14E228, podpisový algoritmus SHA256
otisk prstu SHA1 = D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8
Před instalacií zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
SHA256 kořenové certifikáty v jednom balíčku platné k datu 01.12.2018: CAcert_chain_X0F_X0E.pem, obsahuje certifikáty:
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
otisk prstu SHA1 = DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!
- kořenový třídy 3 (zprostředkující), sériové číslo 00000E, podpisový algoritmus SHA256
otisk prstu SHA1 = A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0
Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
SHA256 kořenové certifikáty v jednom balíčku platné k datu 11.11.2016: CAcert_chain_256.pem, obsahuje certifikáty:
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
otisk prstu SHA1 = DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!
- kořenový třídy 3 (zprostředkující), sériové číslo 0A418A, podpisový algoritmus SHA256
otisk prstu SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
- kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
![/!\](/moin_static199/cacert/img/alert.png "/!\")
zastaralé: Kořenové certifikáty v jednom balíčku platné k datu 04.09.2015: CAcert_chain.pem, obsahuje certifikáty: kořenový třídy 1, pořadové (sériové) číslo 000000, podpisový algoritmus MD-5
ale od 1.1.2017 ho hlavní prohlížeče již nepřijímají otisk prstu SHA1 = 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
- kořenový třídy 3 (zprostředkující), sériové číslo 0A418A, podpisový algoritmus SHA256
otisk prstu SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
- Kořenový certifikát ve formátu vhodném k přidání do /usr/share/ssl/certs/ca-bundle.crt
SHA256 cacert-bundle_X0F_X14E228.crt - certifikáty třídy 1 (#00000F) a třídy 3 (#14E228), oba podepsané algoritmem SHA256
Důležité: Před instalací zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.SHA256 cacert-bundle_X0F_X0E.crt - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)! Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.SHA256 cacert-bundle_256.crt - certifikáty třídy 1 (#00000F) a třídy 3 (#0A418A), oba podepsané algoritmem SHA256
Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!- zastaralý: cacert-bundle.crt - certifikáty třídy 1 (#000000, podepsaný MD-5) a třídy 3 (#0A418A, podepsaný SHA256)
blokováno hlavními prohlížeči a operačními systémy od 20170101 - zastaralý: cacert-boundle.crt - certifikát třídy 1 (#000000) a třídy 3 (#000001), oba podepsané algoritmem MD-5 blokováno hlavními prohlížeči a operačními systémy od 20170101
SHA256 CAcert_Root_Certificates_2021.msi - certifikáty třídy 1 (#00000F) a třídy 3 (#14E228), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - postup
SHA256 CAcert_Root_Certificates_X0F_X0E.msi - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - postup
SHA256 CAcert_Root_Certificates_256.msi - certifikáty třídy 1 (#00000F) a třídy 3 (#0A418A), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - postup
Nové kořenové certifikáty CAcert připravené pro systémy Android
5ed36f99.0 5ed36f99.0 - kořenový certifikát třídy 1 (#00000F) podepsaný algoritmem SHA256
jeho hash MD-5 5ed36f99.md5 6ecc343c22ba3ba6ef817f0d8bd744e1
jeho hash SHA1 5ed36f99.sha1 8d9ca4e340ecf56911296b3c48b3a4969515b268
jeho hash SHA256 5ed36f99.sha256 a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196
e5662767.0 e5662767.0 - kořenový certifikát třídy 3 (#14E228) podepsaný algoritmem SHA256
jeho hash MD-5 e5662767.md5 ec9756d27ec59a6c8525ec92b0eacabb
jeho hash SHA1 e5662767.sha1 32478474740013ce5d4dfe31eb12d14598786d15
jeho hash SHA256 e5662767.sha256 a8715704acf0bd1531e7ca11e98df8af45ce421f09cad2cddc70edabe2bd9520