Hauptbereich
Neue SwissSign CA-Zertifikate
Anfangs August 2021 hat SwissSign neue CAs aufgesetzt: Neu wird jeweils eine eigene Zertifikats-Hierarchie für TLS aufgebaut mit eigenem «Root-» bzw. «Cross-» Zertifikat und drei Aussteller-CAs («Issuing CAs») sowie eine eigene Hierarchie für Secure E-Mail (S/MIME) mit einem «Root-» bzw. «Cross-» Zertifikat und drei Issuing-CA-Zertifikaten.
Die neuen Zertifikate stehen unter den folgenden Links zum Download bereit:
TLS/SSL:
Cross-Zertifikat der neuen Root:
https://swisssign.net/cgi-bin/authority/download/80F38FD9FC82688153C1E48B97501EA9F9C61CB5
EV-ICA:
https://swisssign.net/cgi-bin/authority/download/DA34D48E1023F46A2D6CB41FF32811DE5E01C4DE
OV-ICA:
https://swisssign.net/cgi-bin/authority/download/ACD03AC2C25755916911CC706A59388A8CAC9C3D
DV-ICA:
https://swisssign.net/cgi-bin/authority/download/3C9E527903636F4F9C811BD328700C245AEAA587
S/MIME:
Cross-Zertifikat der neuen Root:
https://swisssign.net/cgi-bin/authority/download/090CBF2AA21D04240CB2F9400A41C2CF5A72AA80
NCP ICA:
https://swisssign.net/cgi-bin/authority/download/E1644D6ECA9EC75DC97ECD4FDC3B53F45D0F18D3
NCP extended ICA:
https://swisssign.net/cgi-bin/authority/download/2B661A63041903A719FC35E7C3B8D1368F4E9A41
LCP ICA:
https://swisssign.net/cgi-bin/authority/download/FA54C082A6FE96BD04C75F9F5F820C3DC3954F47
Die neuen Hierarchien werden am 17. Oktober 2021 in Betrieb genommen.
Was ist zu tun?
Für bereits ausgestellte Zertifikate: Es ändert sich nichts. Sie müssen daher nichts unternehmen.
Für neu auszustellende Zertifikate: Systeme wie z.B. Windows laden als Client fehlende CA-Zertifikate bei der Gültigkeits-Prüfung von Zertifikaten automatisch herunter, es ist also für diese Systeme ein reibungsloser Übergang auf die neuen Hierarchien ohne weitere Interaktion möglich. Wir empfehlen aber trotzdem, die neuen CA-Zertifikate auf Ihrem System (Server- oder E-Mail-Versender) zu installieren. Wie dies auf Ihrem System funktioniert, entnehmen Sie den untenstehenden Links:
- Apache <https://www.xolphin.de/support/Apache/Apache_2.4.8_und_neuer_-_Zertifikatinstallation >
- Microsoft Internet Information Server <https://docs.microsoft.com/en-us/troubleshoot/iis/configure-intermediate-certificates >
- Microsoft Exchange < https://docs.microsoft.com/de-de/exchange/architecture/client-access/import-certificates?view=exchserver-2019 >
Damit wird die Interoperabilität mit Nicht-Standard-Applikationen gewährleistet.
Bisher:
Ab 18.10.2021:
Abkürzungsverzeichnis: DV = Domain Validation, OV = Organisaton Validation, EV = Extended Validation, LCP = Lightweight Certificate Policy, NCP = Normalized Certificate Policy
Die bisherigen «Gold G2» und «Silver G2» Root-Zertifikate sind in den «Truststores» (Datenbanken vertrauenswürdiger Zertifikate in Browsern, Betriebssystemen, E-Mail-Clients etc.) enthalten. Die neuen Hierarchien sind mit der bisherigen «Gold G2» Root verknüpft und sind daher ebenfalls vertrauenswürdig.
Weshalb diese Erneuerung?
-
Trennung von SSL/TLS-Hierarchie von der Secure-E-Mail-Hierarchie: Gemäss den neuen Empfehlungen der Browser-Hersteller sollen zukünftig die beiden Hierarchien getrennt werden.
-
Periodische Neu-Ausstellung: CA-Zertifikate müssen periodisch erneuert werden, da ältere Root-Zertifikate von den Truststore-Anbietern aus den Truststores entfernt werden. So können zu jederzeit die neuesten Sicherheits-Entwicklungen berücksichtigt werden und Zertifikatskunden profitieren von einem bestmöglichen Schutz.
