Addtrust External CA Stammzertifikat auslaufen lassen

Am 30. Mai 2020 läuft das Sectigo (früher Comodo) Stammzertifikat mit dem Namen AddTrust External CA Root ab. Das Zertifikat ist seit dem 30. Mai 2000 aktiv und seit seiner Einführung weit verbreitet. Der Nachfolger dieses Stammzertifikats wird als Comodo RSA Certification Authority Root bezeichnet und läuft 2038 ab. Dieser Artikel beschreibt, wie das Auslaufen des Stammzertifikats funktioniert und warum keine zusätzlichen Maßnahmen auf der Serverseite erforderlich sind.

Vertrauenskette

Jedes SSL-Zertifikat wird unter einem Stammzertifikat ausgestellt. Stammzertifikate sind selbstsignierte Zertifikate, die von einer Zertifizierungsstelle wie Comodo gesteuert werden und im vertrauenswürdigen Stammspeicher eines Browsers enthalten sind. Dies ist wichtig für die Unterstützung der SSL-Zertifikate: Je mehr Browser einem Root-Zertifikat vertrauen, desto mehr werden die SSL-Zertifikate, die unter diesem Root-Zertifikat ausgestellt werden, anerkant.

Zwischen einem Stammzertifikat und einem SSL-Zertifikat sind ein oder mehrere Zwischenzertifikate vorhanden. Zusammen mit dem Stammzertifikat bilden Sie eine vollständige Kette ("Vertrauenskette"). Durch die Verwendung von Zwischenzertifikaten muss das Stammzertifikat selbst kein Zertifikat signieren. Auf diese Weise kann das Root-Zertifikat offline bleiben, wodurch es weniger anfällig für Missbrauch ist. Zwischenzertifikate können als Hinweis auf das Stammzertifikat betrachtet werden. Ein SSL-Zertifikat wird von einem Zwischen- und das Zwischenzertifikat vom Stammzertifikat signiert. Wenn Sie keine Zwischenzertifikate installieren, kann dies bei einigen Browsern zu Fehlermeldungen führen. Eine Übersicht der aktuellen Stamm- und Zwischenzertifikate finden Sie hier.

Kreuzsignierung

Um eine gute Kompatibilität eines neuen Stammzertifikats aufzubauen, braucht es Zeit. Daher werden Comodo SSL-Zertifikate unter zwei verschiedenen Stammzertifikaten signiert, das zuvor diskutierte Addtrust External CA root Zertifikat mit einer Gültigkeit bis Mai 2020 und das relativ neue - und deshalb weniger unterstützte - Stammzertifikat der Comodo RSA Certification Authority bis Mai 2038.

Darüber hinaus gibt es ein zusätzliches Zwischenzertifikat unter den Namen Comodo RSA Certification authority intermediate. Der Name des nächsten Zwischenzertifikats hängt vom signierten SSL-Zertifikat darunter ab. Der Name des Zwischenzertifikats, das EV-Zertifikate signiert, ist beispielsweise COMODO RSA EV Secure Server CA. Dieses letzte Zwischenzertifikat wird sowohl vom Comodo RSA Certification authority intermediate als auch vom gleichnamigen Stammzertifikat signiert (Kreuzsignierung). Aufgrund der Kreuzsignierungstechnik sind zwei gültige Stammzertifikat bekannt, die beide verwendet werden können.

Hat mein Comodo-Zertifikat noch Vertrauen?

Aufgrund der Kompatibilität und weit verbreiteten Browser-Unterstützung des Addtrust External CA root Zertifikats bieten wir dieses Stammzertifikat weiterhin an. Wenn das Zertifikat abgelaufen ist und ein Client das Comodo RSA Certification authority Stammzertifikat bereits besitzt, wird es automatisch verwendet. Daher wird die Installation des alten Stammzertifikats ab dem 30. Mai 2020 zu keinen Problemen führen. Sie werden feststellen, dass neuere Clienten, die mit dem Comodo RSA Certification authority Stammzertifikat vertraut sind, diese bereits verwenden. Heutzutage werden Zertifikate mit einer maximalen Gültigkeit von zwei Jahren ausgestellt. Aus diesem Grund ist es möglich, dass das Zertifikat eine längere Gültigkeit hat als das verwendete Stammzertifikat. Aufgrund der Verwendung der Kreuzsignierungstechnik führt dies nicht zu Problemen.

Einige Besucher verwenden noch alte Geräte. Aus diesem Grund empfehlen wir, die alte Kette zu verwenden. Ab dem 30. Mai 2020 werden ältere Geräte, die nicht über das neue Stammzertifikat im vertrauenswürdigen Stammverzeichnis verfügen, einen Fehler ausgeben.

Hinweis: Windows Server bietet automatisch die kürzeste Kette an. Es ist möglich, das neue Stammzertifikat zu deaktivieren, bis das Stammzertifikat für die Stammzertifikate der externen Zertifizierungsstelle abgelaufen ist.

Überlappung von Namens- und Ablaufdatum

Unter dem alten Stammzertifikat 'Addtrust External CA' ist das mittlere Zertifikat 'Comodo RSA Certification authority' vorhanden. Das Stamm- and Zwischenzertifikat laufen am 30. Mai 2020 ab. Darüber hinaus hat das ablaufende Zertifikat den gleichen Namen wie das neue Stammzertifikat der Comodo RSA Certification Authority.

Fingerabdruck

Jedes Zertifikat hat seine eigenen eindeutigen Fingerabdruck. Für die zuvor besprochenen Zertifikate sind dies:

Addtrust External CA Root Zertifikat:

02faf3e291435468607857694df5e45b68851868

Comodo RSA Certification Authority intermediate Zertifikat:

f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0

Comodo RSA Certification Authority root Zertifikat:

afe5d244a8d1194230ff479fe2f897bbcd7a8cb4

So können Sie mit Sicherheit prüfen, welches Zertifikat auf dem Server vorhanden ist.