Neue CAcert Stammzertifzikate
Neue Stammzertifzikate
Da sie heutzutage von Betriebssystemen und Anwendungen aktiv deaktiviert werden, sind ältere MD5-signierte Zertifikate für den Zugriff auf eine Website mit HTTPS nicht mehr hilfreich. Als Faustregel gilt, dass es mittlerweile generell keine gute Idee ist, Zertifikate mit der Kennzeichnung „MD5” herunterzuladen und zu installieren. Die Abschaffung des MD5-Algorithmus für PKI-Zwecke begann 2011; seit Ende 2016 kann MD5 für X.509-Operationen überhaupt nicht mehr verwendet werden.
Um dieser Herausforderung zu begegnen, hat CAcert seine Stamm CA- und Klass 3 Stamm-Zertifikate mit der modernen und sicheren SHA256-Hash-Funktion neu signiert. Die mit SHA256 signierten Root-Zertifikate von CAcert blieben ansonsten unverändert (gleiche Schlüssel, gleiche Gültigkeitsdauer), mit Ausnahme einer aktualisierten Seriennummer und der neuen Signatur. Sie sind vollständig kompatibel mit allen Zertifikaten, die zuvor von CAcert ausgestellt wurden.
10.04.2019: Die mit SHA256 signierten Stammzertifikate der Klassen 1 und 3 wurden auf dem CAcert-Betriebsserver (http://www.cacert.org/index.php?id=3) abgelegt. Ihre Dateinamen zum Herunterladen lauten: root_X0F (Stammzertifikat der Klasse 1) und class3_X0E (Zwischen-Stammzertifikat der Klasse 3). Die Hexadezimalzahl nach „X” ist die eindeutige Seriennummer des Zertifikats, also 00000F bzw. 00000E. CAcert-Benutzern wird empfohlen, beide älteren Zertifikate (mit den Seriennummern 000000 und 0A418A) durch diese neuen zu ersetzen. |
10.07.2021: Das mit SHA256 signierte Stammzertifikat der Klasse 3 (Dateien Class3_x14E228.crt / .der / .txt) wurde auf dem CAcert-Betriebsserver (http://www.cacert.org/index.php?id=3) abgelegt. Das bisherige Zwischenzertifikat der Klasse 3 (Class3_X0E) ist am 20.05.2021 abgelaufen. Die Hexadezimalzahl nach dem Buchstaben „X” ist die eindeutige Seriennummer des Zertifikats, also 14E228. CAcert-Benutzern wird empfohlen, das ältere Zertifikat der Klasse 3 (mit der Seriennummer 00000E) durch dieses neue zu ersetzen. |
Auf dieser Seite finden Sie unten auch den Zugriff auf das „aktualisierte” SHA256-signierte Stammzertifikat der Klasse 1 (#00000F), das das alte MD5-signierte Stammzertifikat der Klasse 1 (#000000) ersetzt. Bitte verwenden Sie ab dem 01.01.2018 unbedingt das „aktualisierte” SHA256-signierte Stammzertifikat der Klasse 1. Auf dieser Seite finden Sie auch das neue Zwischenzertifikat der Klasse 3 (#14E228), das das alte Zwischenzertifikat der Klasse 3 (#00000E) ersetzt. Eine Erklärung und die Vorgehensweise finden Sie hier.
Want to smoothly replace the expired Class 3 root certificate by the renewed SHA256 signed one ? The procedure is here.
Want to smoothly replace an obsolete MD5 signed certificate by an up-to-date SHA256 signed one ? The procedure is here.
How can I import the root certificate? See Import Root Cert, Browser Clients, and e-Mail Clients
SHA256 CAcert root signed using the SHA256 algorithm: for Windows - PEM format, for OS.X, iOS and Linux - PEM format, binary - DER format
- Class 1 root, signing algorithm SHA256, serial number 00000F
fingerprint SHA1 = dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5
fingerprint SHA256 = 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5
Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!
- Class 1 root, signing algorithm SHA256, serial number 00000F
SHA256 CAcert Intermediate root signed using the SHA256 algorithm: for Windows, for OS.X, iOS, and Linux - PEM format, binary - DER format
- Class 3 root, signing algorithm SHA256, serial number 14E228
fingerprint SHA1 = D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8<<BR>>
fingerprint SHA256 = 1BC5 A61A 2C0C 0132 C52B 284F 3DA0 D8DA CF71 7A0F 6C1D DF81 D80B 36EE E444 2869
Note: Prior you install the SHA256 signed CAcert Class 3 Intermediate certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (serial #00000E).
- Class 3 root, signing algorithm SHA256, serial number 14E228
SHA256 CAcert Roots in one package, valid at 15.05.2021: CAcert_chain_X0F_X14E228.pem, contains roots:
- Class 1 Root, signing algorithm SHA256, serial number 00000F
fingerprint SHA1 = DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
fingerprint SHA256 = 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 D7C9 00F5 7092 6F27 7CC2 30C5
Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!
- Class 3 Root, signing algorithm SHA256, serial number 14E228
fingerprint SHA1 = D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8<<BR>>
fingerprint SHA256 = 1BC5 A61A 2C0C 0132 C52B 284F 3DA0 D8DA CF71 7A0F 6C1D DF81 D80B 36EE E444 2869
Note: Prior you install the SHA256 signed CAcert Class 3 root certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (#00000E).
- Class 1 Root, signing algorithm SHA256, serial number 00000F
Where can I find the root certificate in a format that is suitable to append it to /usr/share/ssl/certs/ca-bundle.crt?
SHA256 cacert-bundle_X0F_X14E228.crt - Class 1 (#00000F) and Class 3 (#14E228), both SHA256 signed
Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)! Note: Prior you install the SHA256 signed CAcert Class 3 root certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (#00000E).
SHA256 Installable package for Windows - CAcert_Root_Certificates_2021.msi - Class 1 (#00000F) and Class 3 (#14E228) certificates, both SHA256 signed - procedure
New CAcert roots prepared for Android systems
5ed36f99.0 5ed36f99.0 - Class 1 Root (#00000F) SHA256 signed
its MD-5 hash 5ed36f99.md5: 6ecc343c22ba3ba6ef817f0d8bd744e1
its SHA1 hash 5ed36f99.sha1: 8d9ca4e340ecf56911296b3c48b3a4969515b268
its SHA256 hash 5ed36f99.sha256: a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196
e5662767.0 e5662767.0 - Class 3 Root (#14E228) SHA256 signed
its MD-5 hash e5662767.md5: ec9756d27ec59a6c8525ec92b0eacabb
its SHA1 hash e5662767.sha1: 32478474740013ce5d4dfe31eb12d14598786d15
its SHA256 hash e5662767.sha256: a8715704acf0bd1531e7ca11e98df8af45ce421f09cad2cddc70edabe2bd9520