Improve this translation, if you can! Thank you for beeing an active part of the CAcert community.


Come sostituire la radice CAcert Classe 1 firmata MD-5 con la radice CAcert Classe 1 firmata SHA256

I principali browser non accettano certificati (inclusi quelli autofirmati root) firmati utilizzando l' algoritmo MD-5, dopo il 20161231. La ragione è che oggi l' algoritmo MD-5 non è più considerato sicuro. Questo è anche il motivo per sostituirlo con il certificato di radice CAcert firmato da SHA256.

Sfondo

Il certificato di radice SHA256 firmato da CAcert è molto simile al certificato di radice MD-5 firmato da CAcert, per quanto riguarda i problemi tecnici. Le principali differenze tra la radice di Classe 1 firmata SHA256 e la radice di Classe 1 firmata MD-5 sono le seguenti:

La procedura

In breve: la sostituzione è possibile, semplice e senza problemi sia per i sistemi operativi che per i browser. Il processo di sostituzione è assolutamente semplice come 1-2-3:

  1. Scaricare e salvare il file root SHA256 firmato CAcert Class 1. Selezionare il formato utilizzato dal sistema o dal browser.
  2. Importare il root scaricato nel proprio sistema operativo o browser (ad esempio, utilizzare l' utilità di sistema o Certificate Manager incorporato).
  3. Eliminare la radice precedente MD-5 firmata CAcert Classe 1. Controllare prima il numero di serie 00000000.

È stato dimostrato che la procedura di sostituzione non nuoce. Non è necessario modificare o reinstallare la radice CAcert di Classe 3 o qualsiasi certificato emesso da CAcert, in quanto sono già firmati SHA256. I sistemi (Linux, Windows) e i browser (Firefox) sono ancora in grado di creare le catene di certificati necessarie.

La procedura, se le radici sono state installate dal pacchetto MSI per MS Windows

  1. Se si sono installate le radici CAcert usando il pacchetto MSI, occorre prima disinstallarle usando lo stesso pacchetto CAcert_Root_Certificates. msi (o il nuovo, CAcert_Root_Certificates_256. msi). Se non si ricorda la procedura dell' installazione precedente, eseguire il pacchetto (con _256 nel suo nome). se mostra tre possibilità standard (cambio, riparazione, disinstallazione) premere Disinstalla. Se viene visualizzata la finestra di dialogo di errore (senza testo, pulsanti Sì/No), premere Sì.
  2. Al termine della disinstallazione, eseguire il nuovo pacchetto CAcert_Root_Certificates_256. msi, confermare il contratto di licenza e installare le radici. Di nuovo, se appare la finestra di dialogo "Errore", premere Sì.

La procedura per il Kleopatra in Linux

Il programma Kleopatra elimina il certificato radice con l' intera stringa di certificato. Non consente quindi la sostituzione diretta del vecchio certificato di radice. È necessario seguire questa procedura:

  1. Esportare tutti i certificati, rilasciati a voi, in file di tipo <hash>. pem

  2. Eliminare il certificato di origine CAcert (MD-5 firmato). In questo modo si eliminano anche tutte le stringhe di certificato, ossia il certificato CAcert Class3 e tutti i certificati (è possibile eseguire backup dal passaggio 1).
  3. Importare il certificato di origine CAcert CAcert Class1 SHA256 firmato con il numero di serie 0F (root_256. crt) e impostarlo in modo affidabile.
  4. Importare il certificato CAcert intermedio di classe 3 (classe 3. crt).
  5. Importare tutti i certificati rilasciati all' utente che sono stati esportati nel passaggio 1.


HowTo/ReplaceCAcertRootCertificate/IT (last edited 2017-12-31 21:21:21 by EtienneRuedin)