DigiCert rota los intermedios. ¿Qué significa esto para usted?

5/11/2020 | Jindřich Zechmeister

El certificado Intermediate es un certificado mediante el cual la AC emite los certificados finales. DigiCert rota estos certificados de la AC, por lo tanto es bueno saber dónde encontrará el certificado adecuado. Lo necesita para la credibilidad del certificado final y una instalación correcta.

El certificado Intermediate es un certificado con que la AC firma (es decir, emite) los certificados finales para nuestros clientes. Es importante para instalar el certificado en el servidor puesto que une el certificado con el certificado raíz de la AC y así proporciona la credibilidad para todos los dispositivos. DigiCert rota estos certificados de la AC, por lo tanto es bueno saber dónde encontrará el certificado adecuado.

Para qué se necesita el certificado Intermediate

Como ya hemos mencionado en la introducción, el certificado Intermediate es imprescindible para la credibilidad del certificado TLS que utiliza y lo necesita para una instalación correcta. Es un certificado que ha emitido su certificado final; así pues, el Intermediate correcto lo puede identificar según el campo Emisor, que aparece en su certificado. Sin embargo, el certificado concreto lo encontrará fácilmente según su nombre.

Rotación y nuevos certificados Intermediate

La autoridad certificadora DigiCert va a cambiar con más frecuencia que antes los certificados Intermediate usados. Hay varios motivos para ello, sobre todo una mayor seguridad y flexibilidad en la emisión. Para los clientes esto no supone más trabajo, solo deberían acostumbrarse a utilizar el certificado Intermediate que les hemos enviado (y no dejar el anterior en el servidor) a la hora de instalar y renovar.

La última rotación se realizó el 2 de noviembre de 2020 y aquel día fueron eliminados certificados antiguos, que DigiCert ya no va a utilizar más. En vez de ellos van a utilizarse los certificados Intermediate nuevos. En la tabla de más abajo encontrará los nuevos equivalentes.

November 2020 ICA Replacements

Current ICA certificate

New ICA certificate

Issuing root certificate

DigiCert SHA2 Secure Server CA

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert SHA2 Secure Server CA

DigiCert SHA2 Secure Server CA

DigiCert Global Root CA

DigiCert Baltimore CA-2 G2

DigiCert Baltimore TLS RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert ECC Secure Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Baltimore CA-1 G2

DigiCert Baltimore SMIME RSA SHA256 2020 CA1

Baltimore CyberTrust Root

DigiCert Global CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert Trusted Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

DigiCert ECC Extended Validation Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

DigiCert Assured ID CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

DigiCert Extended Validation CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

DigiCert High Assurance CA-3

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

DigiCert EV Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

 

Durante el cambio anterior en junio de 2020 fueron activados dos nuevos certificados Intermediate. El primero es RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1, que emite ahora los populares certificados RapidSSL. El segundo AC es GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1, que emite los certificados DV GeoTrust.

Dónde conseguir el certificado Intermediate apropiado

En el primer párrafo he comentado que el certificado Intermediate lo encontrará fácilmente según el nombre del emisor del certificado final. Sin embargo, esto cuesta bastante trabajo y nos hace perder el tiempo a la hora de instalación. En nuestra administración siempre puede descargar el par de certificados correcto, es decir, el final y el correspondiente correcto Intermediate. Así va a ahorrar el tiempo y no se va a equivocar. El Intermediante correcto lo encontrará también en el correo electrónico sobre la emisión del certificado; lo enviamos adjunto en el mensaje. Las dos formas de obtención son fáciles y rápidas.

La tercera opción es descargar el certificado Intermediate de nuestro sitio web o del sitio web de la AC. Para este objetivo está disponible el artículo los certificados Intermediate a Root de nuestras AC (CA bundle). En esta página intentamos mantener una lista de los certificados Intermediante actuales sin embargo, su uso actual no siempre está garantizado al 100%. Recomendamos utilizar siempre en primer lugar los certificados del detalle del pedido, que son seguramente emisor de su certificado. A pesar del máximo esfuerzo se puede producir un cambio que no se tenga en cuenta en esta página.

Qué cosas evitar

Nunca utilice los certificados Intermediate para la validación (autenticación) junto con su certificado puesto que pueden cambiar inesperadamente. Una mala práctica también es una "codificación PIN" de los certificados Intermediate "correctos" en las aplicaciones de manera que acepten solo los certificados configurados de antemano. Esto causa graves problemas sobre todo en las aplicaciones móviles, que fácilmente pueden quedar fuera de servicio (basta con que cambiara el emisor del certificado utilizado). Si realmente necesita revisar el certificado "esperado" de los clientes para la revisión utilice siempre los datos del certificado final, que no pueden cambiar. Se utiliza una gran serie de los certificados Intermediate precisamente por la fácil diversificación de los certificados emitidos y DigiCert seguro piensa rotarlos con más frecuencia en el futuro.

Fuentes:

  1. DigiCert ICA Update
  2. DigiCert Trusted Root Authority Certificates

Mgr. Marta Castro Aguila
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional 
e-mail: marta.castro-aguila(at)zoner.com