Wie ersetze ich das MD-5-signierte CAcert-Class-1-Wurzelzertifikat durch das SHA-256-signierte CAcert-Class-1-Wurzelzertifikat?
Die wichtigsten Browser akzeptieren keine Zertifikate (einschließlich Root-Signierte), die nach dem 31.12.2016 mit dem MD-5-Algorithmus signiert wurden. Der Grund dafür ist, dass der MD-5 Algorithmus heutzutage nicht mehr als der sicherste angesehen wird. Dies ist auch der Grund dafür, sie durch das SHA256 signierte CAcert-Root-Zertifikat zu ersetzen.
Hintergrund
Das SHA256 signierte CAcert Root-Zertifikat ist in technischer Hinsicht dem MD-5 signierten CAcert Root-Zertifikat sehr ähnlich. Die Hauptunterschiede zwischen der SHA256 signierten Klasse-1-Root und der MD-5 signierten Klasse-1-Root sind wie folgt:
- natürlich der Signier-Algorithmus: SHA256 statt MD-5,
- Seriennummer: 00000F statt 00000000,
SHA-1-Fingerabdruck: dd:fc:da:54:1e:75:77:ad:dc:a8:7e:88:27:a9:8a:50:60:32:52:a5 (anstelle von 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F
Das Verfahren
Kurz gesagt: Der Austausch ist möglich, einfach und stellt sowohl für Betriebssysteme als auch für Browser kein Problem dar. Der Prozess des Austausches ist völlig unkompliziert und geschieht in drei Schritten:
Laden Sie die SHA256 signierte CAcert Class 1 Root-Datei herunter (FAQ) und speichern Sie sie. Wählen Sie das Format, das Ihr System oder Ihr Browser verwenden kann.
- Importieren Sie die heruntergeladene Root-Datei in Ihr Betriebssystem oder Ihren Browser (z. B. mit dem Systemdienstprogramm oder dem eingebetteten Certificate Manager).
- Löschen Sie die frühere MD-5 signierte CAcert Class 1 Root. Überprüfen Sie vorher die Seriennummer 00000000.
Es ist erwiesen, dass das Ersetzen keinen Schaden anrichtet. Es ist nicht notwendig, ein von CAcert ausgestelltes Zertifikat zu ändern oder neu zu installieren, da diese bereits mit SHA256 signiert sind. Systeme (Linux, Windows) und Browser (Firefox) sind nach wie vor in der Lage, die benötigten Zertifikatsketten zu erstellen.
Die Prozedur, wenn Roots durch das MSI-Paket für MS Windows installiert wurden
- Wenn Sie CAcert Roots mit dem MSI-Paket installiert haben, müssen Sie diese zuerst mit dem gleichen Paket CAcert_Root_Certificates.msi (oder dem neuen Pakete CAcert_Root_Certificates_X0F_X0E.msi, CAcert_Root_Certificates_X0F_!x14E228.msi) deinstallieren. Wenn Sie sich nicht mehr an die Prozedur der vorherigen Installation erinnern, führen Sie das Paket aus (mit _X0F_x14E228 im Namen). Wenn drei Standardmöglichkeiten angezeigt werden (Schaltflächen Ändern, Reparieren, Deinstallieren), klicken Sie auf Deinstallieren. Wenn das Fehlerdialogfeld erscheint (ohne Text, Schaltflächen Ja/Nein), drücken Sie Ja.
- Nachdem die Deinstallation abgeschlossen ist, starten Sie das neue Paket CAcert_Root_Certificates_X0F_!x14E228.msi, bestätigen Sie die Lizenzvereinbarung und installieren Sie die Roots. Wenn das Dialogfeld "Fehler" erscheint, drücken Sie erneut auf Ja.
Das Verfahren für die Kleopatra unter Linux
Das Programm Kleopatra löscht das Wurzelzertifikat mit dem gesamten Zertifikatstring. Daher ist es nicht möglich, das alte Wurzelzertifikat direkt zu ersetzen. Sie müssen diese Vorgehensweise befolgen:
Exportieren Sie alle Zertifikate, die Ihnen ausgestellt wurden, in Dateien vom Typ <hash>.pem.
- Löschen Sie das CAcert Root-Zertifikat (MD-5 signiert). Auf diese Weise löschen Sie auch den gesamten Zertifikatstring, d. h. das CAcert Class3-Zertifikat und alle Ihre Zertifikate (Sie haben Backups aus Schritt 1).
- Importieren Sie das CAcert Root-Zertifikat CAcert Class1 SHA256 signiert mit der Seriennummer 0F (root_X0F.crt) und setzen Sie es vertrauenswürdig.
- Importieren Sie das CAcert Zwischenzertifikat Class3 (class3_x14E228.crt).
- Importieren Sie alle Ihnen ausgestellten Zertifikate, die Sie im Schritt 1 exportiert haben.