Después del 1 de mayo de 2019, se revocarán todos los certificados públicos con caracteres de subrayado. Cumplirán sus certificados la normativa?
El 10 de noviembre de 2018, el Foro de Navegadores de Autoridades de Certificación (CA/B) aprobó la votación SC12 que pondrá fin al uso de guiones bajos ("_") en la entrada dNSName de la Extensión de Nombre Alternativo del Sujeto (SAN) de los certificados de raíz pública.
Este cambio entrará plenamente en vigor el 1 de mayo de 2019, fecha en la que ningún certificado de raíz pública podrá tener caracteres de guión bajo en el SAN.
Antes del 15 de enero de 2019, se revocarán todos los certificados de raíz pública que contengan un guión bajo y tengan un periodo de validez superior a 30 días. Sin embargo, antes del 1 de abril de 2019, los certificados que contengan caracteres de guión bajo en la entrada dNSName de la SAN podrán emitirse con las siguientes condiciones:
- Las entradas dNSName pueden incluir caracteres de guión bajo, de forma que la sustitución de todos los caracteres de guión bajo por caracteres de guión daría como resultado una etiqueta de dominio válida.
- Los caracteres de guión bajo no deben colocarse en la etiqueta de dominio situada más a la izquierda.
- Los certificados no deben tener una validez superior a 30 días.
¿Por qué revocar certificados con guiones bajos en la SAN?
CA/B votó a favor del cambio para cumplir con el RFC 5280, Apéndice B. Notas ASN.1, que establece:
"Los implementadores deben tener en cuenta que el signo "@" y los caracteres "_" no están soportados por el tipo ASN.1 PrintableString...Las implementaciones conformes NO DEBEN codificar cadenas que incluyan el carácter "@" o "_" como PrintableString."
Anteriormente, las CA de terceros no cumplían la RFC 5280 y las medidas previas para forzar su cumplimiento no habían sido aprobadas por mayoría. Ahora que las CA de terceros cumplen la normativa, la información SAN de los certificados públicos tendrá un formato más coherente y predecible.
Qué significa esto para los certificados de arraigo público
Si una empresa tiene actualmente certificados de raíz pública que tienen un carácter de guión bajo en el SAN dNSName, ese certificado debe ser reemplazado.
Este cambio sólo se aplica a los certificados de raíz pública. No afectará a los certificados PKI internos emitidos por las CA de Microsoft.
Cada CA de terceros de confianza (Entrust, Comodo, DigiCert, etc.) es responsable de comunicar los cambios, y facilitar los reemplazos con sus clientes. Entrust ha declarado que revocará todos los certificados que tengan un guión bajo y un periodo de validez superior a 30 días a partir del 14 de enero de 2019.
Cómo garantizar la conformidad de su certificado público
El mejor método para encontrar y actualizar certificados públicos no conformes es utilizar una solución de gestión de certificados software como Keyfactor Command.
Keyfactor Command escaneará un entorno empresarial e importará cada certificado de terceros a una consola de gestión centralizada donde cada certificado no conforme puede organizarse en una colección. Utilizando esa colección, Keyfactor Command sustituirá automáticamente cada certificado no conforme por un certificado conforme del proveedor de CA de terceros con CA Gateways de terceros.
En el caso de los certificados internos, Microsoft CA no impedirá el uso de caracteres no conformes y no dispone de ningún mecanismo para impedir su uso. Keyfactor Command impedirá las solicitudes de certificados que contengan caracteres no conformes, además de hacer cumplir otras normas del sector, como la RFC 2818.
Resumen
Este cambio se ha realizado para cumplir con la RFC 5280 y ya ha comenzado a aplicarse. La plena aplicación entrará en vigor el 1 de mayo de 2019, y los emisores terceros comunicarán los próximos pasos a sus clientes.
Sin embargo, incluso con los avisos de los terceros proveedores, encontrar y sustituir a mano los certificados no conformes es una tarea difícil sin software como Keyfactor Command .
Cualquier certificado público no conforme será revocado antes del15 de enero y, si no se sustituye, podrían producirse cortes de servicio.
También es importante señalar que los caracteres de guión bajo seguirán estando permitidos por las CA internas de Microsoft y la gestión de certificados de terceros software, como Keyfactor Command , es necesaria para evitar el uso de caracteres no conformes con RFC 5280.