## 20250404 AK
----
 [[FAQ/NewRoots/CZ|česky]] | '''deutsch''' | [[FAQ/NewRoots|english]]
----

= Neue CAcert Stammzertifzikate =

=== Neue Stammzertifzikate ===
{{{{#!wiki caution
Da sie heutzutage von Betriebssystemen und Anwendungen aktiv '''deaktiviert''' werden, sind ältere '''MD5-signierte''' Zertifikate für den Zugriff auf eine Website mit HTTPS nicht mehr hilfreich. Als Faustregel gilt, dass es mittlerweile generell keine gute Idee ist, Zertifikate mit der Kennzeichnung „MD5” herunterzuladen und zu installieren. Die Abschaffung des MD5-Algorithmus für PKI-Zwecke begann 2011; seit Ende 2016 kann MD5 für X.509-Operationen überhaupt nicht mehr verwendet werden.

Um dieser Herausforderung zu begegnen, hat CAcert seine '''Stamm CA-''' und '''Klass 3 Stamm-Zertifikate''' mit der modernen und sicheren SHA256-Hash-Funktion neu signiert. Die mit SHA256 signierten Root-Zertifikate von CAcert blieben ansonsten '''unverändert''' (gleiche Schlüssel, gleiche Gültigkeitsdauer), mit Ausnahme einer aktualisierten Seriennummer und der neuen Signatur. Sie sind vollständig '''kompatibel''' mit allen Zertifikaten, die '''zuvor''' von CAcert ausgestellt wurden.

{{{#!Wiki note
||<#80FEDC> 10.04.2019: Die mit SHA256 signierten Stammzertifikate der Klassen 1 und 3 wurden auf dem CAcert-Betriebsserver (http://www.cacert.org/index.php?id=3) abgelegt. Ihre Dateinamen zum Herunterladen lauten: root_X0F (Stammzertifikat der Klasse 1) und class3_X0E (Zwischen-Stammzertifikat der Klasse 3). Die Hexadezimalzahl nach „X” ist die eindeutige Seriennummer des Zertifikats, also 00000F bzw. 00000E. CAcert-Benutzern wird empfohlen, beide älteren Zertifikate (mit den Seriennummern 000000 und 0A418A) durch diese neuen zu ersetzen.||
||<#0000FF> 10.07.2021: Das mit SHA256 signierte Stammzertifikat der Klasse 3 (Dateien Class3_x14E228.crt / .der / .txt) wurde auf dem CAcert-Betriebsserver (http://www.cacert.org/index.php?id=3) abgelegt. Das bisherige Zwischenzertifikat der Klasse 3 (Class3_X0E) ist am 20.05.2021 abgelaufen. Die Hexadezimalzahl nach dem Buchstaben „X” ist die eindeutige Seriennummer des Zertifikats, also 14E228. CAcert-Benutzern wird empfohlen, das ältere Zertifikat der Klasse 3 (mit der Seriennummer 00000E) durch dieses neue zu ersetzen.||
}}}

Auf dieser Seite finden Sie unten auch den Zugriff auf das „aktualisierte” SHA256-signierte Stammzertifikat der Klasse 1 (#00000F), das das alte MD5-signierte Stammzertifikat der Klasse 1 (#000000) ersetzt. Bitte verwenden Sie ab dem 01.01.2018 unbedingt das „aktualisierte” SHA256-signierte Stammzertifikat der Klasse 1. Auf dieser Seite finden Sie auch das neue Zwischenzertifikat der Klasse 3 (#14E228), das das alte Zwischenzertifikat der Klasse 3 (#00000E) ersetzt. Eine Erklärung und die Vorgehensweise finden Sie [[HowTo/ReplaceCAcertRootCertificate|hier]].
}}}}

 * Want to smoothly '''replace''' the expired Class 3 root certificate by the renewed SHA256 signed one ? The '''procedure is [[HowTo/ReplaceCAcertRootCertificate|here]]'''.
 * Want to smoothly '''replace''' an obsolete MD5 signed certificate by an up-to-date SHA256 signed one ? The '''procedure is [[HowTo/ReplaceCAcertRootCertificate|here]]'''.
 * How can I import the root certificate? See [[FAQ/ImportRootCert|Import Root Cert]], [[FAQ/BrowserClients|Browser Clients]], and [[FAQ/eMailClients|e-Mail Clients]]
 * '''SHA256 CAcert root''' signed using the SHA256 algorithm: [[attachment:root_X0F.cer|for Windows - PEM format]], [[attachment:root_X0F.crt|for OS.X, iOS and Linux - PEM format]], [[attachment:root_X0F.der|binary - DER format]]
  * Class 1 root, signing algorithm SHA256, serial number 00000F
   * fingerprint SHA1 = ‎dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5<<BR>>
   * fingerprint SHA256 = 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 !D7C9 00F5 7092 6F27 7CC2 30C5<<BR>>''Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!''
 * '''SHA256 CAcert Intermediate''' root signed using the SHA256 algorithm: [[attachment:class3_X14E228.cer|for Windows]], [[attachment:class3_X14E228.crt|for OS.X, iOS, and Linux - PEM format]], [[attachment:class3_X14E228.der|binary - DER format]]
  * Class 3 root, signing algorithm SHA256, serial number 14E228
   * fingerprint SHA1 = D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8<<BR>>
   * fingerprint SHA256 = 1BC5 A61A 2C0C 0132 C52B 284F 3DA0 D8DA CF71 7A0F 6C1D DF81 D80B 36EE E444 2869<<BR>>''Note: Prior you install the SHA256 signed CAcert Class 3 Intermediate certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (serial #00000E).''
 * '''SHA256 CAcert Roots in one package''', valid at 15.05.2021: [[attachment:CAcert_chain_X0F_X14E228.pem]], contains roots:
  * Class 1 Root, signing algorithm SHA256, serial number 00000F
   * fingerprint SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5<<BR>>
   * fingerprint SHA256 = 07ED BD82 4A49 88CF EF42 15DA 20D4 8C2B 41D7 1529 !D7C9 00F5 7092 6F27 7CC2 30C5<<BR>>''Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!''
  * Class 3 Root, signing algorithm SHA256, serial number 14E228
   * fingerprint SHA1 = ‎D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8<<BR>>
   * fingerprint SHA256 = 1BC5 A61A 2C0C 0132 C52B 284F 3DA0 D8DA CF71 7A0F 6C1D DF81 D80B 36EE E444 2869<<BR>>''Note: Prior you install the SHA256 signed CAcert Class 3 root certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (#00000E).''
## * SHA256 CAcert Roots in one package, valid at 11.11.2016: [[attachment:CAcert_chain_X0F_X0E.pem]], contains roots:
##  * Class 1 Root, signing algorithm SHA256, serial number 00000F
##   * fingerprint SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5<<BR>>''Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!''
##  * Class 3 Root, signing algorithm SHA256, serial number 0A418A
##   * fingerprint SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
## * /!\ ''obsolete:'' /!\ CAcert Roots in one package, valid at September 04, 2015: [[attachment:CAcert_chain.pem]], contains roots:
##  * Class 1 Root, signing algorithm [[FAQ/Class3Resign#Q:_Why_can_the_root_CAcert_certificate_(class_1)_still_be_signed_using_the_MD5_algorithm?|MD-5]], serial number 000000; <!> '''disabled by main browsers and operating systems since 20170101'''
##   * fingerprint SHA1 = 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
##  * Class 3 Root, signing algorithm SHA256, serial number 0A418A
##   * fingerprint SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE

 * '''Where can I find the root certificate in a format that is suitable to append it to /usr/share/ssl/certs/ca-bundle.crt?'''

  * '''SHA256''' [[attachment:cacert-bundle_X0F_X14E228.crt]] - Class 1 (#00000F) and Class 3 (#14E228), both SHA256 signed<<BR>>''Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)! Note: Prior you install the SHA256 signed CAcert Class 3 root certificate (#14E228), don't forget to delete the CAcert Class 3 Intermediate root certificate (#00000E).''

##  *  /!\  ''obsolete:'' /!\ [[attachment:cacert-bundle.crt]] - Class 1 (#000000, MD-5 signed) and Class 3 (#0A418A, SHA256 signed) certificates; <!> '''disabled by main browsers and operating systems since 20170101'''
##  * SHA256 [[attachment:cacert-bundle_X0F_X0E.crt]] - Class 1 (#00000F) and Class 3 (#0A418A) certificates, both SHA256 signed<<BR>>''Important note: After you have installed the SHA256 signed CAcert root certificate (#00000F), don't forget to delete the MD-5 signed CAcert root certificate (#000000)!''

##  *  /!\  ''obsolete:'' /!\ [[attachment:cacert-boundle.crt]] - Class 1 (#000000) and Class 3 (#000001) certificates, both MD-5 signed); <!> '''disabled by main browsers and operating systems since 20170101'''
 * '''SHA256 Installable package for Windows''' - [[attachment:CAcert_Root_Certificates_2021.msi]] - Class 1 (#00000F) and Class 3 (#14E228) certificates, both SHA256 signed - [[HowTo/ReplaceCAcertRootCertificate#The_procedure,_if_roots_were_installed_by_the_MSI_package_for_MS_Windows|procedure]]
## * SHA256 Installable package for Windows - [[attachment:CAcert_Root_Certificates_X0F_X0E.msi]] - Class 1 (#00000F) and Class 3 (#00000E) certificates, both SHA256 signed - [[HowTo/ReplaceCAcertRootCertificate#The_procedure,_if_roots_were_installed_by_the_MSI_package_for_MS_Windows|procedure]]
## * SHA256 [[attachment:CAcert_Root_Certificates_256.msi]] - Class 1 (#00000F) and Class 3 (#0A418A) certificates, both SHA256 signed - Installable package for Windows - [[HowTo/ReplaceCAcertRootCertificate]]

== New CAcert roots prepared for Android systems ==
 * 5ed36f99.0 [[attachment:5ed36f99.0]] - Class 1 Root (#00000F) SHA256 signed
  * its MD-5 hash [[attachment:5ed36f99.md5]]: 6ecc343c22ba3ba6ef817f0d8bd744e1
  * its SHA1 hash [[attachment:5ed36f99.sha1]]: 8d9ca4e340ecf56911296b3c48b3a4969515b268
  * its SHA256 hash [[attachment:5ed36f99.sha256]]: a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196
 * e5662767.0 [[attachment:e5662767.0]] - Class 3 Root (#14E228) SHA256 signed
  * its MD-5 hash [[attachment:e5662767.md5]]: ec9756d27ec59a6c8525ec92b0eacabb
  * its SHA1 hash [[attachment:e5662767.sha1]]: 32478474740013ce5d4dfe31eb12d14598786d15
  * its SHA256 hash [[attachment:e5662767.sha256]]: a8715704acf0bd1531e7ca11e98df8af45ce421f09cad2cddc70edabe2bd9520

----

 . [[CategoryFAQ]]