#language cs
## 20210712 AK
----
 '''česky''' | [[FAQ/NewRoots|english]]
----

= Nové a archivní (zastaralé) kořenové certifikáty CAcert =

{{{{#!wiki caution
Operační systémy a aplikace dnes (cca od 2018-01-01) '''aktivně odmítají''' starší certifikáty ''podepsané algoritmem MD-5'' a ty tedy nejsou použitelné pro přístup k webovým serverům se zabezpečením HTTPS. Je proto chybou stáhnout a používat '''jakýkoli''' certifikát označený "podepsán MD-5". Zastarávání algoritmu MD-5 pro účely PKI (a certifikátů X.509) začalo roku 2011. Asi od konce roku 2016 nesmí být MD-5 pro certifikáty X.509 používán vůbec.

Pro vyřešení této situace podepsal CAcert svůj kořenový certifikát '''Root CA''' moderním a bezpečným algoritmem '''SHA256'''. Oba kořenové certifikáty CAcert, tj. kořenový c. třídy 1 i zprostředkující c. třídy 3, podepsané pomocí algoritmu SHA256, jsou jinak '''nezměněny''' (tytéž klíče, tatáž doba platnosti), až na změněné pořadové číslo u Class 1 a nový algoritmus podpisu. Jsou tedy plně '''kompatibilní se všemi certifikáty vydanými CA CAcert předtím'''.

{{{#!Wiki note
||<#80FEDC> Dne 20190410 (10. dubna 2019) byly na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěny kořenové certifikáty podepsané algoritmem SHA256. Názvy souborů pro stažení jsou: root_X0F (kořenový třídy 1) a class3_X0E (kořenový třídy 3). Číslo za X udává unikátní pořadové číslo certifikátu, tedy 00000F a 00000E. Uživatelům CAcert doporučujeme podle [[HowTo/ReplaceCAcertRootCertificate/CZ|tohoto návodu]] zaměnit oba starší certifikáty (s pořadovými čísly 000000 a 0A418A) za tyto nové.||
||<#0000FF> Dne 20210710 (10. července 2021 byl na provozní server CAcertu (http://www.cacert.org/index.php?id=3) umístěn zprostředkující kořenový certifikát Class3_x14E228.crt / .der / .txt, protože původnímu zprostředkujícímu certifikátu třídy 3 (Class3_X0E) vypršela datem 20210520 platnost. Číslo za x udává unikátní pořadové číslo certifikátu, tedy 14E228. Uživatelům CAcert doporučujeme podle [[HowTo/ReplaceCAcertRootCertificate/CZ|tohoto návodu]] zaměnit starší certifikát (s pořadovým číslem 00000E) za tento nový.||
}}}

I tato stránka nabízí níže ke stažení jak kořenový certifikát třídy 1 "znovu podepsaný" SHA256 (#00000F), kterým nahradíte zastaralý kořenový certifikát třídy 1 podepsaný MD-5 (#000000). Od uvedeného data 2018-01-01 rozhodně použijte kořenový certifikát třídy 1 "znovu podepsaný" SHA256. Tato stránka rovněž nabízí zprostředkující certifikát třídy 3 (#14E228), kterým nahradíte starší zprostředkující certifikát třídy 3 (#00000E). Vysvětlení a postup najdete [[HowTo/ReplaceCAcertRootCertificate/CZ|v tomto článku]].
}}}}

 * Jak snadno '''nahradit''' zastaralý kořenový certifikát podepsaný pomocí algoritmu MD-5 aktualizovaným kořenovým certifikátem podepsaným pomocí algoritmu SHA256? '''Postup najdete [[HowTo/ReplaceCAcertRootCertificate/CZ|v tomto článku]]'''.
 * Jak mohu importovat kořenový certifikát? Viz:
  * [[FAQ/ImportRootCert/CZ|Import kořenových certifikátů]],
  * [[FAQ/BrowserClients/CZ|Klientské prohlížeče]] a
  * [[FAQ/eMailClients/CZ|E-mailové klientské programy]]
 * '''SHA256 kořenový''' certifikát CAcert podepsaný SHA256: [[attachment:root_X0F.cer|pro Windows]], [[attachment:root_X0F.crt|pro OS.X, iOS a Linux - tvar PEM]], [[attachment:root_X0F.der|binární - tvar DER]]
  * kořenový certifikát třídy 1, sériové číslo 00000F, podpisový algoritmus SHA256
   * otisk prstu (kryptografický otisk) SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5 <<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!''
 * '''SHA256 zprostředkující''' certifikát CAcert podepsaný SHA256: [[attachment:class3_X14E228.cer|pro Windows]], [[attachment:class3_X14E228.crt|pro OS.X, iOS a Linux - tvar PEM]], [[attachment:class3_X14E228.der|binární - tvar DER]]
  * kořenový certifikát třídy 3, sériové číslo 14E228, podpisový algoritmus SHA256
   * otisk prstu (kryptografický otisk) SHA1 = ‎D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8 <<BR>>''Před instalací zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.''
 * SHA256 zprostředkující certifikát CAcert podepsaný SHA256: [[attachment:class3_X0E.cer|pro Windows]], [[attachment:class3_X0E.crt|pro OS.X, iOS a Linux - tvar PEM]], [[attachment:class3_X0E.der|binární - tvar DER]]
  * kořenový certifikát třídy 3, sériové číslo 00000E, podpisový algoritmus SHA256
   * otisk prstu (kryptografický otisk) SHA1 = ‎A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0 <<BR>>''Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.''
 * '''SHA256''' kořenové certifikáty v jednom balíčku platné k datu 15.05.2021: [[attachment:CAcert_chain_X0F_X14E228.pem]], obsahuje certifikáty:
  * kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
   * otisk prstu SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5<<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!''
  * kořenový třídy 3 (zprostředkující), sériové číslo 14E228, podpisový algoritmus SHA256
   * otisk prstu SHA1 = ‎D8:A8:3A:64:11:7F:FD:21:94:FE:E1:98:3D:D2:5C:7B:32:A8:FF:C8 <<BR>>''Před instalacií zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.''
 * SHA256 kořenové certifikáty v jednom balíčku platné k datu 01.12.2018: [[attachment:CAcert_chain_X0F_X0E.pem]], obsahuje certifikáty:
  * kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
   * otisk prstu SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5<<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!''
  * kořenový třídy 3 (zprostředkující), sériové číslo 00000E, podpisový algoritmus SHA256
   * otisk prstu SHA1 = ‎A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0 <<BR>>''Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.''
 * SHA256 kořenové certifikáty v jednom balíčku platné k datu 11.11.2016: [[attachment:CAcert_chain_256.pem]], obsahuje certifikáty:
  * kořenový třídy 1, pořadové (sériové) číslo 00000F, podpisový algoritmus SHA256
   * otisk prstu SHA1 = ‎DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5<<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!''
  * kořenový třídy 3 (zprostředkující), sériové číslo 0A418A, podpisový algoritmus SHA256
   * otisk prstu SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
 * /!\ ''zastaralé:'' /!\ Kořenové certifikáty v jednom balíčku platné k datu 04.09.2015: [[attachment:CAcert_chain.pem]], obsahuje certifikáty:
  * kořenový třídy 1, pořadové (sériové) číslo 000000, podpisový algoritmus [[FAQ/Class3Resign/CZ#Dotaz: Proč může být kořenový certifikát CAcert třídy 1 stále podepsán algoritmem MD5?|MD-5]] /!\ ale od 1.1.2017 ho hlavní prohlížeče již nepřijímají /!\
   * otisk prstu SHA1 = 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
  * kořenový třídy 3 (zprostředkující), sériové číslo 0A418A, podpisový algoritmus SHA256
   * otisk prstu SHA1 = AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
 * Kořenový certifikát ve formátu vhodném k přidání do /usr/share/ssl/certs/ca-bundle.crt
  * '''SHA256''' [[attachment:cacert-bundle_X0F_X14E228.crt]] - certifikáty třídy 1 (#00000F) a třídy 3 (#14E228), oba podepsané algoritmem SHA256<<BR>>''Důležité: Před instalací zprostředkujícího certifikátu CAcert podepsaného SHA256 (#14E228) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 00000E.''
  * SHA256 [[attachment:cacert-bundle_X0F_X0E.crt]] - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256<<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)! Po instalaci zprostředkujícího certifikátu CAcert podepsaného SHA256 (#00000E) doporučujeme odstranit zprostředkující certifikát CAcert s pořadovým číslem 0A418A.''
  * SHA256 [[attachment:cacert-bundle_256.crt]] - certifikáty třídy 1 (#00000F) a třídy 3 (#0A418A), oba podepsané algoritmem SHA256<<BR>>''Důležité: Po instalaci kořenového certifikátu CAcert podepsaného SHA256 (#00000F) odstraňte kořenový certifikát CAcert podepsaný MD-5 (#000000)!''
  * /!\ '''zastaralý:''' /!\  [[attachment:cacert-bundle.crt]] - certifikáty třídy 1 (#000000, podepsaný MD-5) a třídy 3 (#0A418A, podepsaný SHA256) <!> '''blokováno hlavními prohlížeči a operačními systémy od 20170101'''
  * /!\ '''zastaralý:''' /!\ [[attachment:cacert-boundle.crt]] - certifikát třídy 1 (#000000) a třídy 3 (#000001), oba podepsané algoritmem MD-5 <!> '''blokováno hlavními prohlížeči a operačními systémy od 20170101'''
 * '''SHA256''' [[attachment:CAcert_Root_Certificates_2021.msi]] - certifikáty třídy 1 (#00000F) a třídy 3 (#14E228), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - [[HowTo/ReplaceCAcertRootCertificate/CZ|postup]]
 * SHA256 [[attachment:CAcert_Root_Certificates_X0F_X0E.msi]] - certifikáty třídy 1 (#00000F) a třídy 3 (#00000E), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - [[HowTo/ReplaceCAcertRootCertificate/CZ|postup]]
 * SHA256 [[attachment:CAcert_Root_Certificates_256.msi]] - certifikáty třídy 1 (#00000F) a třídy 3 (#0A418A), oba podepsané algoritmem SHA256 - instalační balíček pro Windows - [[HowTo/ReplaceCAcertRootCertificate/CZ|postup]]

== Nové kořenové certifikáty CAcert připravené pro systémy Android ==
 * 5ed36f99.0 [[attachment:5ed36f99.0]] - kořenový certifikát třídy 1 (#00000F) podepsaný algoritmem SHA256
  * jeho hash MD-5 [[attachment:5ed36f99.md5]] 6ecc343c22ba3ba6ef817f0d8bd744e1
  * jeho hash SHA1 [[attachment:5ed36f99.sha1]] 8d9ca4e340ecf56911296b3c48b3a4969515b268
  * jeho hash SHA256 [[attachment:5ed36f99.sha256]] a04100c5026e41cf6d79a4653495258afc02f1819d742a3f8af848e052036196
 * e5662767.0 [[attachment:e5662767.0]] - kořenový certifikát třídy 3 (#14E228) podepsaný algoritmem SHA256
  * jeho hash MD-5 [[attachment:e5662767.md5]] ec9756d27ec59a6c8525ec92b0eacabb
  * jeho hash SHA1 [[attachment:e5662767.sha1]] 32478474740013ce5d4dfe31eb12d14598786d15
  * jeho hash SHA256 [[attachment:e5662767.sha256]] a8715704acf0bd1531e7ca11e98df8af45ce421f09cad2cddc70edabe2bd9520

----

 . [[CategoryFAQ]]