Los certificados TLS Symantec en una nueva infraestructura y fusión con DigiCert

Desde finales del año 2017, los certificados TLS Symantec forman parte de una nueva infraestructura, que fue creada de una fusión de Symantec PKI con la empresa DigiCert. Con ello está relacionada la necesidad de una reemisión (reissue) de los certificados actuales. Usted encontrará aquí toda la información necesaria. 

Nueva infraestructura PKI

A partir de joint-venture con la empresa DigiCert, se produjo una fusión de los productos PKI de Symantec (las llamadas Website Security Solutions) y de sus bienes con la autoridad certificadora DigiCert. DigiCert va a funcionar para los certificados Symantec como una AC subordinada (SubAC), que va a realizar para él la validación de los certificados. El resto del proceso de emisión del certificado no cambia y el cliente recibirá el certificado en aquella forma a la que ha estado acostumbrado hasta ahora. 

La aportación de este cambio va a consistir en una emisión más rápida de los certificados en comparación con la duración actual. Las dos autoridades certificadoras se van a centrar solamente en emisión de los certificados TLS, lo cual va a facilitar y acelerar los procesos relacionados. 

En la actualidad, DigiCert se dedica sobre todo a los clientes enterprise y mediante la operación podrá acceder también a los clientes finales; al contrario, los clientes de los certificados Symantec podrán acceder a una carpeta ampliada de productos, enriquecida con los productos que nunca ha habido en la oferta de Symantec (por ejemplo, los certificados S/MIME).

Al final de la operación (Q3 2018), las dos autoridades certificadoras llegaron a formar parte de una sola compañía. Así pues, pronto puede esperar usted una ampliación de nuestra oferta por los productos actuales de DigiCert. Los certificados SSL/TLS por supuesto no cambian. 

El motivo del cambio a la nueva infraestructura fue un conflicto con Google, que quería revocar crédito a los certificados emitidos fuera de Certificate Transparency y más tarde también a los certificados emitidos en la antigua PKI de Symantec. Gracias a la operación, el conflicto fue resuelto y los certificados de la nueva infraestructura van a funcionar sin problema. 

Una condición para un cambio fácil a una nueva PKI de Symantec y DigiCert y un requisito para mantener la credibilidad es una reemisión de los certificados TLS en cuestión. 

Activación de la nueva infraestructura

La nueva infraestructura fue activada el 01-12-2017. Los nuevos certificados raíz están disponibles desde el mes de noviembre de 2017 y serán ampliados a todas las listas de los certificados raíz de la AC. Serán creados los nuevos certificados raíz RSA 4096 y ECC 384. Los productos serán diversificados mejor por los Sub-CA independientes (Intermediate). 

La compatibilidad con dispositivos más antiguos la asegurará la firma del segundo certificado raíz Verisign G5 (mediante cross-signing). 

Reissue de los certificados emitidos 

Como hemos mencionado anteriormente, gracias al cambio a la nueva infraestructura va a ser resuelto el problema con Chrome y todos los certificados van a funcionar sin problema. Los certificados emitidos antes hay que volver a emitirlos, a saber, según esta clave:

  • los certificados emitidos antes del 01-06-2016 y que caducarán antes del 13-09-2018 deberían ser reemitidos inmediatamente
  • los certificados emitidos antes del 01-06-2016 y que caducarán después del 13-09-2018 deberían ser reemitidos desde el 01-12-2017 hasta el 15-03-2018
  • los certificados emitidos antes del 01-12-2017 y que caducarán después del 13-09-2018 deberían ser reemitidos desde el 01-12-2017 hasta el 13-09-2018

La reemisión del certificado es gratuita y la puede realizar directamente en la administración de clientes. Al emitir un certificado nuevo, se conservarán los parámetros del certificado original, incluida la fecha de caducidad. 

Les vamos a informar a los clientes sobre la necesidad de reemisión de los certificados concretos. Para cada cuenta cliente usted recibirá una lista de certificados en cuestión. 

Le ayudaremos en el proceso de sustitución 

Cada cliente recibirá a tiempo la lista de los certificados que le deberían ser reemitidos en las fechas indicadas (debería realizarse un reissue). La administración de clientes de SSLmarket permite realizar este procedimiento en cualquier momento, después de que el cliente acceda a su cuenta, pero usted puede también contactar directamente con nuestra Atención al Cliente

Si usted necesita para la reemisión una nueva CSR (Windows Server) la puede crear directamente en SSLmarket y después de la emisión del certificado incluso puede crear un archivo PFX para su Windows Server. 

Aviso: La información anteriormente mencionada no se refiere a los certificados Code Signing.