Section générale
Nouveaux certificats SwissSign CA
SwissSign a créé de nouveaux certificats CA début août 2021. Une nouvelle hiérarchie de certificats sera mise en place pour TLS avec son propre certificat «Root» ou «Cross» et trois émetteurs CA («Issuing CAs») ainsi qu’une hiérarchie distincte pour le courrier électronique sécurisé (S/MIME) avec un certificat «Root» ou «Cross» et trois certificats d’émetteurs CA.
Les nouveaux certificats peuvent être téléchargés à partir des liens suivants:
TLS/SSL:
- Certificat «Cross» nouveau Root:https://swisssign.net/cgi-bin/authority/download/80F38FD9FC82688153C1E48B97501EA9F9C61CB5
- EV-ICA:
https://swisssign.net/cgi-bin/authority/download/DA34D48E1023F46A2D6CB41FF32811DE5E01C4DE - OV-ICA:
https://swisssign.net/cgi-bin/authority/download/ACD03AC2C25755916911CC706A59388A8CAC9C3D - DV-ICA:
https://swisssign.net/cgi-bin/authority/download/3C9E527903636F4F9C811BD328700C245AEAA587
S/MIME:
- Certificat «Cross» nouveau Root:
https://swisssign.net/cgi-bin/authority/download/090CBF2AA21D04240CB2F9400A41C2CF5A72AA80 - NCP ICA:
https://swisssign.net/cgi-bin/authority/download/E1644D6ECA9EC75DC97ECD4FDC3B53F45D0F18D3 - NCP extended ICA:
https://swisssign.net/cgi-bin/authority/download/2B661A63041903A719FC35E7C3B8D1368F4E9A41 - LCP ICA:
https://swisssign.net/cgi-bin/authority/download/FA54C082A6FE96BD04C75F9F5F820C3DC3954F47
Ces nouvelles hiérarchies seront mises en service le 17 octobre 2021.
Que faire?
Pour les certificats déjà émis: rien ne change. Par conséquent, vous n’avez rien à faire.
Pour de nouveaux certificats devant être émis: les systèmes tels que Windows téléchargent automatiquement les certificats CA manquants en tant que client lorsqu’ils vérifient la validité des certificats, de sorte qu’une transition en douceur vers les nouvelles hiérarchies soit possible pour ces systèmes sans autre interaction. Cependant, nous vous conseillons d’installer les nouveaux certificats CA sur votre système (serveur ou messagerie). Pour savoir exactement comment procéder sur votre système, suivez les liens ci-dessous:
- Apache <https://www.xolphin.de/support/Apache/Apache_2.4.8_und_neuer_-_Zertifikatinstallation >
- Microsoft Internet Information Server <https://docs.microsoft.com/en-us/troubleshoot/iis/configure-intermediate-certificates >
- Microsoft Exchange < https://docs.microsoft.com/de-de/exchange/architecture/client-access/import-certificates?view=exchserver-2019 >
Vous garantirez ainsi l’interopérabilité avec des logiciels non standard.
Jusqu’à présent:
A partir du 18.10.2021:
Liste des abréviations: DV = Domain Validation, OV = Organisaton Validation, EV = Extended Validation, LCP = Lightweight Certificate Policy, NCP = Normalized Certificate Policy
Les anciens certificats Root «Gold G2» et «Silver G2» sont inclus dans les «Truststores» (bases de données de certificats fiables dans les navigateurs, les systèmes d’exploitation, les clients de messagerie, etc.). Les nouvelles hiérarchies sont liées avec la précédente Root «Gold G2» et sont donc également dignes de confiance.
Pourquoi ce renouvellement?
-
Séparation de la hiérarchie SSL/TLS par rapport à la hiérarchie des e-mails sécurisés: selon les nouvelles recommandations des éditeurs de navigateurs, les deux hiérarchies seront séparées à l’avenir.
-
Nouvelle émission périodique: les certificats CA doivent être renouvelés périodiquement, car les certificats Root plus anciens sont supprimés dans les Truststores par leurs opérateurs. Ainsi, les nouvelles évolutions en matière de sécurité peuvent être prises en considération à tout moment et les clients profitent de la meilleure protection possible avec leurs certificats.
