Neue Root und ICA Zertifikate ab März 2023
(16.11.2022) Ab 8. März des nächsten Jahres wird die CA DigiCert die TLS/SSL Zertifikate mit neuen Root und Intermediate CA (ICA) Zertifikaten der zweiten Generation (G2) ausstellen.
Warum tauscht DigiCert die Root und ICA Zertifikate aus?
Die Änderung wird von dem Unternehmen Mozilla initiiert, welches die bestehenden Root und Intermediate Zertifikate wegen ihres Alters ersetzen will. Den neuen Root und ICA Zertifikaten soll ihre Gültigkeit zugleich auf 10 Jahre beschränkt werden, um ihre Agilität zu erhöhen – auf dem Markt werden sie für einen kürzeren Zeitraum funktionieren und umso öfter werden sie geändert. Diese Änderungen sind auch von dem Bemühen motiviert, sich solcher Kryptografie anzunähern, die auch den Quantencomputern widerstehen wird.
Mit der Ausstellung der neuen Root und ICA Zertifikaten reagiert DigiCert also nur auf die neuen Bedingungen der Zertifikatsausstellung. Den früher geplanten Umstieg auf die Zertifikate der fünften Generation (G5) musste jedoch DigiCert aus diesem Grund zugleich verschieben.
Was ist zu tun?
Von Ihrer Seite ist keine Aktion erforderlich.
Ab 08.03.2023 wird DigiCert die neuen TLS/SSL Zertifikate in der neuen Hierarchie im Default ausstellen. Die vorhandenen TLS/SSL Zertifikate werden aber bis ihr Ablaufdatum vertrauenswürdig bleiben.
Wir raten Ihnen aber nachdrücklich davon ab, das Pinning des Ausstellers anzuwenden, weil sich der Aussteller in mehr oder weniger verschiedenen Intervallen immer wieder ändert. Auch die G2 Zertifikate werden nicht länger als bis 2029 gültig bleiben.