Sectigo将从1月14日开始使用新的根

0
5068

Comodo CA已经出局,USERTrust将替换它们。

上月我们报道了Comodo CA已经更名为Sectigo。这是一个急需进行的举措,因为Sectigo公司从中分离出来的Comodo Group与Sectigo有着相同的经营领域,而且或多或少,还拥有相同的颜色和logo。

于是,Sectigo诞生了。

昨天,在一份声明中,Sectigo又宣布开始进入转型的下一阶段:它将从2019年1月14日开始替换旧有的Comodo CA根。

因此,接下来我们将探讨Sectigo的这一举措,以及未来这对Sectigo的客户来说将意味着什么。

让我们开始吧。

让我们首先来讨论一下Root CA

尽管我们不会深入探讨Root CA和中间体,但快速复习一下是值得的,因此其他信息就不难进行理解了。

每个运营系统都有一个Root存储(有时也称为信任存储),它包含了一组真实存在于你的系统上的根证书。这些根是极其有价值的,因为它们可以用来签发像SSL/TLS证书和签名证书这样可靠的数字证书。

当你访问一个网站,而该网站又有一个SSL/TLS证书时,你的浏览器就会执行一系列的检查来验证该证书。在这些检查流程中,其中一个就是跟踪终端用户SSL/TLS证书上的签名,将其追溯回密钥对它进行了签名的证书。如果它能够跟踪证书链返回到信任存储所使用的一个根,那么不管这个根具体是哪个,它都会信任这个终端用户证书。如果没有,你就会受到一个错误提示,然后连接就会失败。

现在,让我们再一次明确一下有关Root的特征:它们是强大的,非常有价值,但是也因为极具价值性而有可能造成危险。在添加新的根之前,各种根程序(Mozilla的、苹果的、微软的、谷歌的)的要求是非常严格的。CA必须经过审核,必须有严格的审核流程。

但这是有道理的,Root CA能够签发可靠的证书,因此如果它遭到了攻击,就会造成全面的灾难。这是每个人都希望进行防范的。这也是为什么CA会签发中间根并用这些中间根对证书进行签名——添加一层额外的保护层——因此,当需要撤销证书时,你就不会丢失掉实际的Root。正如你之后将会看到的,签发一个中间根比根更容易。

最后,公共可信的终端用户证书的生命周期不超过27个月,而Root的生命周期则在20年以上。

Sectigo将更改它的Root CA和它的中间体

好了,现在让我们来谈论一下Sectigo将会有何举动,以及其将在1月14日更改根的决定。正如我们所谈论的,CA通常并不会直接从它的根中签发证书,而是会创建出中间根,然后再使用这些中间根来进行签发。

以下是Sectigo SSL/TLS证书的证书链当前看起来的样子:

在上面你可以看到Comodo Root CA。Sectigo.com使用了扩展验证(EV)证书,所以你还可以看到使用了EV中介体来签发Sectigo终端用户 EV证书。

显然,Sectigo正试图摆脱Comodo品牌,所以将这些根和中介体称为“Comodo”是不可取的。

就我个人而言,我一直就在想,Sectigo将如何从PKI的角度处理好这一过渡,因为让各种根程序接受一个根需要一定的时间(而且这一过程还十分严格)。更不用说,我一直就在密切关注Mozilla根程序的进展,但甚至没有任何迹象表明有人试图这么做。

现在我们知道了。答案是借鉴以往的经验来帮助处理未来的事宜。Sectigo将开始使用它的USERTrust根CA,而不是之前一直从中进行链接的Comodo根CA。USERTrust根并不是新创建的,它的第一个家族实际上创建于2000年,同时过期日为2020年5月30日。自2010年以来,已经生成了更新的版本,其使用寿命最远可达2038年。所以该USERTrust根CA并不是新创建的,只是他们的名字里没有“Comodo”。

通过使用USERTrust根CA, Sectigo将开始创建自身品牌的中间体,这样它的证书链就能反映出新品牌,而不是该公司之间所使用的名字。

事实证明,这一举措对Sectigo也有双重作用。它不仅能够将它的新品牌应用到它的中间体,并从它的证书链中移除所有类似的Comodo,而且这也让Sectigo有更多的时间将它的专用根应用到各种根程序中。我想最终的目标是拥有真正的Sectigo根CA证书,但很显然这不是一夜之间就能实现的。因此,交换根,生成新的中间体,然后等待根CA被接受,这是可以理解的。

这对现有的Sectigo客户意味着什么?

与证书透明性要求实施时一样,这实际上只会对证书机构造成影响。正如Sectigo在其声明中所言:

“我们希望向所有客户和合作伙伴保证,这一变化将无缝进行,无需采取任何行动。你现有的证书、签发的CA和根都将保持活跃和受到信任。新的Sectigo中间体将用于满足新的请求、更新请求和在此过渡过程中即将拥有的请求。由Sectigo直接处理的补发请求将使用与签发原始证书相同的CA来实现。”

好了,让我们来总结一下:

  • 所有Sectigo签发的证书都将持续受到全球信任
  • 客户不需要采取任何行动,不需要补发或更换证书,直到到期
  • 所有当前从旧有的根中签发出来的Comodo CA和Sectigo证书都将继续工作,直到到期
  • 最后,如果你有一个品牌的签发CA,那么不会有任何改变

这些改变将从2019年1月14日开始生效,如果中间有任何变化,我们会告知您的。

LEAVE A REPLY

Please enter your comment!
Please enter your name here