Comunicado Importante: Nueva Raíz para Emisión de EV SSL

Comunicado Importante: Nueva Raíz para Emisión de EV SSL

Tiempo Aproximado de Lectura: 1 minuto
Este articulo fue publicado hace 2 años. Por favor ten presente que este contenido podría no estar vigente o podría estar desactualizado.

Estimados Clientes, A partir del 31 de Octubre, los Certificados SSL de Validación Extendida (EV) de GlobalSign serán emitidos a partir de una nueva raíz, permitiendo que toda la cadena, incluyendo la raíz, pasen a ser firmadas con algoritmo hashing SHA-256 y no más con SHA-1.

Impacto para los Clientes

1. Para la emisión de nuevos certificados después del 31 de Octubre, será necesario instalar una nueva Raíz en sus servidores web.
2. Para certificados existentes y emitidos antes de 31 de Octubre:

+ Certificados que necesiten ser reemitidos o renovados después del 1 de Octubre, será necesario instalar una nueva Raíz en sus servidores web, después completar el proceso de renovación o reemisión.
+ Certificados que no necesitan ser reemitidos o renovados, no tendrán impacto.

Gracias por escoger a Nodored como el proveedor SSL con el respaldo de GlobalSign. En caso de alguna inquietud, póngase en contacto con Soporte.

Comunicado Importante para Certificados SSL de GlobalSign

Comunicado Importante para Certificados SSL de GlobalSign

Tiempo Aproximado de Lectura: 3 minutos
Este articulo fue publicado hace 3 años. Por favor ten presente que este contenido podría no estar vigente o podría estar desactualizado.

Informamos algunos cambios importantes y actualizaciones que ocurrirán en las próximas semanas en diversas lineas de Certificados SSL emitidos por GlobalSign, y los cuales podrían impactar a un determinado segmento de nuestros valiosos clientes. Si usted se vera afectado y tiene alguna pregunta, por favor no dude en contactar con soporte.

Actualización del Certificado Intermedio

GlobalSign realizará una actualización de certificados intermedios para certificados de clientes el 11 de Julio de 2016, incluyendo los siguientes productos:

+ Certificados PersonalSign (SHA2)
+ Certificados PersonalSign EPKI (SHA2)
+ Certificados Code Signing (Firma de Código) (SHA2)
+ Certificados EV Code Signing Certificates (SHA2)

La mayoría de nuestros clientes no serán afectados por este cambio ya que los certificados intermedios automáticamente se instalarán en el navegador cuando el certificado es instalado.

Sin embargo, es importante tener en cuenta que los clientes que instalen manualmente los certificados PersonalSign para la autenticación de clientes en el protocolo SSL/TLS deberán instalar los certificados intermedios nuevos en sus servidores al renovar los certificados existentes después del 11 de Julio de 2016. GlobalSign no podrá restaurar este cambio ni hará excepciones para emitir certificados a partir de las raíces intermedias antiguas, le pedimos tener presente este cambio en el momento de su renovacion.

Cambios a SSL que contienen direcciones IP

Durante varios años, GlobalSign ha incluido las direcciones IP codificadas como IPAddress y dNSName dentro de los SANs de los certificados. Esta opción es compatible con navegadores con distintos métodos de validación de sitios web ejecutados en direcciones IP.  En la actualidad, Chrome exige que las direcciones IP se codifiquen como IPAddress.  Por su parte, Microsoft IE y Edge en Windows 8.1 y versiones anteriores exigen que las direcciones IP se codifiquen como dNSName. La opción actual de incluir ambas versiones es compatible con un mayor número de navegadores y ha sido el método predeterminado de emisión de certificados con direcciones IP.

Sin embargo, este enfoque no es compatible con el RFC 5280. Asimismo, la lógica de validación más reciente de Mozilla Firefox para direcciones IP ya no soporta direcciones IP codificadas como dNSNames.  Con el fin de cumplir estrictamente lo estipulado en el RFC 5280, a partir del 15 de Junio de 2016, GlobalSign únicamente codificará las direcciones IP como iPAddress, y dejará de incluirlas codificadas como dNSName.

Impacto para los Certificados existentes

Los clientes existentes que utilizan certificados con una IP codificada en el dNSName no se verán afectados y podrán continuar usándolos hasta su fecha de vencimiento.  En el caso de que el certificado sea reemitido o renovado tras esta fecha, se emitirá únicamente con la entrada SAN iPAddress. También es posible reemitir los certificados existentes con el objetivo de eliminar todas las direcciones IP codificadas como dNSName para ofrecer una compatibilidad total con FireFox.

Impacto para los pedidos de nuevos certificados

Como se explicó anteriormente, este cambio afectará a los navegadores de Microsoft que ejecuten Windows 8.1 o una versión anterior, ya que los navegadores de Microsoft no validarán correctamente los certificados SSL cuando la dirección IP esté incluida únicamente en el campo iPAddress.  En el caso de que el certificado SSL deba ser compatible con los navegadores Microsoft y deba incluir una dirección IP, la opción es la siguiente: Solicite un certificado único para cada dirección IP en el que la dirección IP esté contenida en el nombre común y en el SAN como iPAddress. Cuando la dirección IP esté incluida en el Nombre Común (Common name), el certificado será validado correctamente por todos los navegadores.

Los usuarios podrán seguir solicitando certificados SSL con validación de organización multidominio  (multi-domain) e incluir la dirección IP como SAN.

Compatibilidad con Windows

Si usted utiliza certificados para direcciones IP en locaciones que requieren compatibilidad con Windows 8.1 o versiones anteriores, deberá solicitar un certificado único para cada dirección IP que incluya la dirección IP en el Nombre Común (Common name).

Le damos las gracias por su apoyo y lamentamos cualquier molestia que esta acción la cual es necesaria pueda ocasionarle.