Der Countdown für die Keyfactor Tech Days läuft - sichern Sie sich noch heute Ihren Platz!

  • Startseite
  • Blog
  • SAN-Erweiterungen Entfernen der Unterstriche bei öffentlichen Zertifikaten

SAN-Erweiterungen Entfernen der Unterstriche bei öffentlichen Zertifikaten

Nach dem 1. Mai 2019 werden alle öffentlichen Zertifikate mit Unterstrichen widerrufen. Werden Ihre Zertifikate dem entsprechen?

Am 10. November 2018 verabschiedete das Certification Authority Browser Forum (CA/B) die Abstimmung SC12, die die Verwendung von Unterstrichen ("_") im dNSName-Eintrag der Subject Alternative Name Extension (SAN) von öffentlich gerooteten Zertifikaten beenden wird.

Diese Änderung wird am 1. Mai 2019 vollständig in Kraft treten, wenn keine öffentlich verwurzelten Zertifikate mehr Unterstrichzeichen im SAN enthalten dürfen.

Vor dem 15. Januar 2019 werden alle öffentlich verwurzelten Zertifikate, die einen Unterstrich enthalten und eine Gültigkeitsdauer von mehr als 30 Tagen haben, widerrufen. Vor dem 1. April 2019 können jedoch Zertifikate, die einen Unterstrich im dNSName-Eintrag im SAN enthalten, unter den folgenden Bedingungen ausgestellt werden:

  1. dNSName-Einträge können Unterstreichungszeichen enthalten, so dass das Ersetzen aller Unterstreichungszeichen durch Bindestriche zu einer gültigen Domänenbezeichnung führen würde.
  2. Unterstrichene Zeichen dürfen nicht in der am weitesten links stehenden Domainbezeichnung stehen.
  3. Die Bescheinigungen dürfen nicht länger als 30 Tage gültig sein.

SAN-Zertifikat

Warum werden Zertifikate mit Unterstreichungszeichen im SAN widerrufen?

CA/B stimmte für die Änderung zur Einhaltung von RFC 5280, Anhang B. ASN.1 Notes, die besagt:

"Implementierer sollten beachten, dass das "@"-Zeichen und die "_"-Zeichen vom ASN.1-Typ PrintableString nicht unterstützt werden...Konforme Implementierungen MÜSSEN Zeichenketten, die entweder das "@"- oder das "_"-Zeichen enthalten, NICHT als PrintableString kodieren."

Zuvor waren Drittanbieter-Zertifizierungsstellen nicht konform mit RFC 5280, und frühere Maßnahmen zur Erzwingung der Konformität waren an einer Mehrheit gescheitert. Da die Drittanbieter-Zertifizierungsstellen nun konform sind, werden die Informationen über öffentliche SAN-Zertifikate nun in einem einheitlicheren und vorhersehbareren Format vorliegen.

Was dies für Zertifikate mit öffentlicher Verankerung bedeutet

Wenn ein Unternehmen derzeit über öffentlich verwurzelte Zertifikate verfügt, die einen Unterstrich im dNSName-SAN enthalten, muss dieses Zertifikat ersetzt werden.

Diese Änderung gilt nur für öffentlich verwurzelte Zertifikate. Sie wirkt sich nicht auf interne PKI-Zertifikate aus, die von Microsoft CAs ausgestellt werden.

Jede vertrauenswürdige Drittanbieter-Zertifizierungsstelle (Entrust, Comodo, DigiCert usw.) ist dafür verantwortlich, die Änderungen mitzuteilen und ihren Kunden den Austausch zu erleichtern. Entrust hat erklärt, dass sie alle Zertifikate mit einem Unterstrich und einer Gültigkeitsdauer von mehr als 30 Tagen ab dem 14. Januar 2019 widerrufen werden.

So stellen Sie sicher, dass Ihr öffentliches Zertifikat den Anforderungen entspricht

Die beste Methode, nicht konforme öffentliche Zertifikate zu finden und zu aktualisieren, ist die Verwendung einer Zertifikatsverwaltungslösung software wie Keyfactor Command.

Keyfactor Command scannt eine Unternehmensumgebung und importiert jedes Zertifikat eines Drittanbieters in eine zentrale Verwaltungskonsole, wo jedes nicht konforme Zertifikat in einer Sammlung organisiert werden kann. Anhand dieser Sammlung ersetzt Keyfactor Command automatisch jedes nicht konforme Zertifikat durch ein konformes Zertifikat eines Drittanbieters mit Drittanbieter-CA-Gateways.

Für interne Zertifikate verhindert Microsoft CA nicht die Verwendung von nicht konformen Zeichen und verfügt über keinen Mechanismus, um deren Verwendung zu verhindern. Keyfactor Command verhindert Zertifikatsanforderungen, die nicht konforme Zeichen enthalten, und setzt andere Industriestandards wie RFC 2818 durch.

Zusammenfassung

Diese Änderung wurde vorgenommen, um die Einhaltung von RFC 5280 zu gewährleisten, und es wurde bereits mit der Umsetzung begonnen. Die vollständige Durchsetzung wird am 1. Mai 2019 in Kraft treten, und die Drittaussteller werden ihre Kunden über die nächsten Schritte informieren.

Doch selbst mit den Mitteilungen der Drittanbieter ist es schwierig, die nicht konformen Zertifikate von Hand zu finden und zu ersetzen, ohne software wie Keyfactor Command .

Jedes nicht konforme öffentliche Zertifikat wird vor dem15. Januar widerrufen, und wenn ein einzelnes Zertifikat nicht ersetzt wird, kann es zu Ausfällen kommen.

Es ist auch wichtig zu beachten, dass Unterstrichzeichen weiterhin von internen Microsoft CAs und Zertifikatsverwaltungssystemen von Drittanbietern software, wie Keyfactor Command , zugelassen werden, um die Verwendung von nicht RFC 5280-konformen Zeichen zu verhindern.