Nové a archivní (zastaralé) kořenové certifikáty CAcert

Operační systémy a aplikace dnes (cca od 2018-01-01) aktivně odmítají starší certifikáty podepsané algoritmem MD-5 a ty tedy nejsou použitelné pro přístup k webovým serverům se zabezpečením HTTPS. Je proto chybou stáhnout a používat jakýkoli certifikát označený "podepsán MD-5". Zastarávání algoritmu MD-5 pro účely PKI (a certifikátů X.509) začalo roku 2011. Asi od konce roku 2016 nesmí být MD-5 pro certifikáty X.509 používán vůbec.

Pro vyřešení této situace podepsal CAcert svůj kořenový certifikát Root CA moderním a bezpečným algoritmem SHA256. Oba kořenové certifikáty CAcert, tj. kořenový c. třídy 1 i zprostředkující c. třídy 3, podepsané pomocí algoritmu SHA256, jsou jinak nezměněny (tytéž klíče, tatáž doba platnosti), až na změněné pořadové číslo u Class 1 a nový algoritmus podpisu. Jsou tedy plně kompatibilní se všemi certifikáty vydanými CA CAcert předtím.

Dne 20190410 (10. dubna 2019) byly na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěny kořenové certifikáty podepsané algoritmem SHA256. Názvy souborů pro stažení jsou: root_X0F (kořenový třídy 1) a class3_X0E (kořenový třídy 3). Číslo za X udává unikátní pořadové číslo certifikátu, tedy 00000F a 00000E. Uživatelům CAcert doporučujeme podle tohoto návodu zaměnit oba starší certifikáty (s pořadovými čísly 000000 a 0A418A) za tyto nové.

Dne 20210710 (10. července 2021 byl na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěn zprostředkující kořenový certifikát Class3_x14E228.crt / .der / .txt, protože původnímu zprostředkujícímu certifikátu třídy 3 (Class3_X0E) vypršela datem 20210520 platnost. Číslo za x udává unikátní pořadové číslo certifikátu, tedy 14E228. Uživatelům CAcert doporučujeme podle tohoto návodu zaměnit starší certifikát (s pořadovým číslem 00000E) za tento nový.

I tato stránka nabízí níže ke stažení jak kořenový certifikát třídy 1 "znovu podepsaný" SHA256 (#00000F), kterým nahradíte zastaralý kořenový certifikát třídy 1 podepsaný MD-5 (#000000). Od uvedeného data 2018-01-01 rozhodně použijte kořenový certifikát třídy 1 "znovu podepsaný" SHA256. Tato stránka rovněž nabízí zprostředkující certifikát třídy 3 (#14E228), kterým nahradíte starší zprostředkující certifikát třídy 3 (#00000E). Vysvětlení a postup najdete v tomto článku.

Nové kořenové certifikáty CAcert připravené pro systémy Android


FAQ/NewRoots/CZ (last edited 2021-07-12 18:00:39 by AlesKastner)