Menu

Revocaciones y Medidas Correctivas de ICA

18 oct 2022

Revocaciones y Medidas Correctivas de ICA

Notificación importante

Se alertó a la industria de la Autoridad de Certificación (CA) de las implicaciones de cumplimiento relacionadas con la inclusión de una extensión específica (uso extendido de claves de firma OCSP) en los certificados de CA que, bajo ciertas condiciones, tiene implicaciones de cumplimiento y seguridad no deseadas. Varias CA emisoras de GlobalSign se han visto afectadas por este problema. Si bien no se ha producido ningún compromiso clave o incidente de seguridad, revocaremos estas CA emisoras como parte de nuestro plan de remediación de acuerdo con los Requisitos de referencia del Foro CA / B y el CPS de GlobalSign. Los certificados intermedios revocados pueden causar errores en la validación de los certificados firmados por estos certificados intermedios.

Para evitar posibles interrupciones, consulte la tabla a continuación para determinar si tiene certificados que puedan verse afectados y siga los Elementos de acción / Recomendaciones:

ELEMENTOS DE ACCIÓN:

  • Es posible que deba volver a emitir y volver a instalar certificados debido al incidente descrito anteriormente.
  • Consulte la lista de productos a continuación que se han visto afectados y los pasos de remediación, los plazos y la orientación por producto.
  • Nota importante: Algunas de las ICA ya han sido revocadas, como se indica en el cuadro a continuación en rojo. Aún puede continuar con la reemisión de sus certificados después de la fecha de revocación, para remediar cualquier problema de desconfianza.

PASOS DE REMEDIACIÓN:

Utilizando la tabla a continuación, determine si tiene algún certificado (por tipo de producto) que pueda verse afectado por las próximas revocaciones. A continuación, siga estos 3 pasos:

  1. Busque certificados afectados en su cuenta de GCC por tipo de producto - Paso 1) a continuación
  2. Vuelva a emitir los certificados afectados - Paso 2) a continuación
  3. Vuelva a instalar el nuevo certificado - Paso 3) a continuación
Tipo de producto Certificados afectados
*Consulte el Paso 1) para obtener instrucciones sobre Cómo obtener una lista de certificados afectados en su cuenta del CCG		 Fecha límite de reedición - (Recomendado)
* Evite interrupciones e interrupciones al volver a emitir y reinstalar al menos 1 semana antes de la fecha de revocación (fechas recomendadas a continuación):		 Fecha de revocación de CA de emisión PASO 1)
Buscar certificados afectados		 PASO 2)
Guía de reemisión de certificados		 PASO 3)
Instalar nuevo certificado

AATL – PDF / Firma de Documento

 Certificados AATL emitidos antes de: 14 oct 2020 y que expiran después del 31 dic 2020

24 dic 2020

31 dic 2020

NOTA: Revocación completa
SSL Validado por Dominio (DV SSL) DV SSL emitido antes: 15 ago 2020 y con vencimiento después: 21 ene 2021

14 ene 2021

21 ene 2021

NOTA: Revocación completa

PersonalSign 1, 2, 2 Pro y 2 Departmental

 Certificados de PersonalSign emitidos antes del: 12 de noviembre de 2020 y con vencimiento después del 24 de febrero de 2021

17 feb 2021

24 feb 2021

ePKI PersonalSign 2 PRO – Certificados NAESB

Certificado ePKI Pro emitido antes del: 28 de octubre de 2020 y con vencimiento después del 24 de febrero de 2021

17 feb 2021

24 feb 2021
PersonalSign 3 Pro Certificados PersonalSign 3 Pro emitidos antes del: 10 de diciembre de 2020 y con vencimiento después: 24 de febrero de 2021 17 feb 2021 24 feb 2021

Cómo Buscar Pedidos Individuales de PersonalSign

Nota: Los residentes belgas y holandeses no tendrán acceso a su propia cuenta para verificar los Certificados afectados. Consulte el paso 2.

Fo residentes belgas y holandeses: Haga una solicitud manual a support@globalsign.com, con línea de asunto:  "PersonalSign 3 Pro - Solicitud de Reemisión".

Si usted es residente de otro país, habrá recibido credenciales para su propia cuenta de GlobalSign. Debería poder iniciar sesión y seguir los siguientes pasos para volver a emitir el certificado: Volver a emitir Certificados Digitales de Cliente.

NOTA: Para los clientes que necesitan instalar paquetes de certificados, consulte este enlace: 
https://support.globalsign.com/ca-certificates/root-certificates/root-intermediate-certificate-bundles

Preguntas Frecuentes 

¿Por qué hay que volver a emitir los certificados?

Por razones de cumplimiento, GlobalSign tuvo que dejar de usar una serie de Certificados Intermedios (más específicamente, Autoridades de Certificación Intermedias) para emitir Certificados a los clientes. Estos certificados intermedios descontinuados deben revocarse a partir de diciembre de 2020 hasta febrero de 2021. Vea los plazos específicos en la tabla anterior.  La revocación de Certificados Intermedios puede llevar a complicaciones con la validación de Certificados Digitales, afectando su validez y funcionalidades previstas.

¿Hay una explicación más específica y técnica?

La inclusión de una determinada extensión de "uso de claves" (id-kp-OCSPSigning) permitiría efectivamente que una CA emisora también actúe en el papel de un respondedor OCSP delegado para la CA principal, de la que se podría abusar para manipular el estado de validez de la propia CA emisora y de la otra CA emisora y los certificados que comparten el mismo padre.

¿Existe un riesgo de seguridad inmediato?

No. No se ha producido ningún incidente de seguridad o comprometido ninguna llave, el cambio se realiza únicamente en el contexto de remediar un problema de cumplimiento y abordar cualquier riesgo de seguridad potencial y no materializado.

¿Qué productos se ven afectados?

Los siguientes productos de GlobalSign se ven afectados:

  • Certificados SSL Validados por Dominio
  • Certificados de Firma de Documentos AATL
  • Certificados de PersonalSign (pedidos individuales y pedidos de ePKI): PersonalSign 1, PersonalSign 2, PersonalSign2 Pro (incluidos los certificados NAESB ePKI Pro) y certificados de departamento de PersonalSign 2.

Certificados específicos que se ven afectados:

  • Todos los certificados SSL validados por dominio emitidos antes de: 15 de agosto de 2020 y que expiran después del 31 de diciembre de 2020
  • Todos los certificados de firma de documentos AATL emitidos antes de: 14 octubre de 2020 y con vencimiento después: 21 enero de 2021
  • Todos los certificados de departamento de PersonalSign 1, PersonalSign 2, PersonalSign 2 Pro y PersonalSign 2 emitidos antes de: 12 noviembre de 2020 y que expiran después del 24 de febrero de 2021
  • Todos los certificados NAESB de PersonalSign 2 Pro emitidos antes del: 28 de octubre de 2020 y con vencimiento después del 24 de febrero de 2021

¿Qué hay que hacer?

  • Los certificados afectados deben volver a emitirse antes de las fechas de revocación.
  • Esto significa que se generará una nueva copia del Certificado con la misma fecha de caducidad y la misma información del tema pero firmada por los nuevos Certificados Intermedios.
  • La reemisión del certificado es GRATUITA
  • *Los certificados reemitidos deben instalarse para reemplazar la versión anterior del certificado.
  • Cuando vuelva a emitir un certificado, los nuevos certificados intermedios se instalarán automáticamente cuando se instale el certificado
  • Para casos de uso avanzados, puede obtener las nuevas ICA en esta página: https://support.globalsign.com/es/certificados-ca/certificados-intermedios

¿Cuáles son los plazos de reemisión por tipo de producto?

  • Todos los certificados SSL validados por dominio deben volver a emitirse antes de: 21 de enero de 2021
  • Todos los certificados de firma de documentos AATL deben volver a emitirse antes de: 31 de diciembre de 2020
  • Todos los certificados de departamento de PersonalSign 1, PersonalSign 2, PersonalSign 2 Pro y PersonalSign 2 deben volver a emitirse antes de: 24 febrero de 2021
  • Todos los certificados NAESB de PersonalSign 2 Pro deben volver a emitirse antes de: 24 febrero de 2021

¿Cómo se contacta con los clientes?

  • GlobalSign enviará varias comunicaciones por correo electrónico y recordatorios a los contactos del Administrador y del Administrador que figuran en su Cuenta.
  • Alentamos a los clientes a extraer informes para determinar qué certificados se ven afectados (incluso si no recibe las comunicaciones por correo electrónico).

¿Qué sucede si un certificado no se vuelve a emitir antes de la fecha de revocación? ¿Cuál es el impacto del evento de revocación?

Una vez que se produce el evento de revocación, no se puede garantizar que los certificados funcionen según lo previsto y lo más probable es que aparezcan como inválidos / desconfiados.
Nota importante: Las fechas de revocación NO se pueden posponer, extender o retrasar.

¿Hay alguna otra opción para el reemplazo de certificados además de volver a emitir certificados?

  • Los certificados pueden renovarse en lugar de volver a emitirse. Sin embargo, para poder hacerlo, su fecha de vencimiento no puede estar a más de 90 días de la fecha de revocación (30 días para DV SSL), ya que solo para entonces estará disponible la opción de renovar certificados.
    • La renovación de Certificados equivale a emitir un nuevo Certificado con nueva validez, y por lo tanto no es gratuita. Se aplican todos los términos habituales para la renovación del certificado
  • Los certificados que se han emitido con un período de validez de más de 825 días ya no se pueden volver a emitir. Para reemplazar estos Certificados, deben renovarse o debe realizarse un nuevo pedido.

¿Por qué se acortó la validez de mi certificado DV SSL/TLS de 2 años después de la reedición?

GlobalSign ya no puede emitir certificados SSL/TLS de confianza pública con períodos de validez superiores a 397 días debido a cambios en las Políticas de Apple y Google Root Store, a partir del 1 de septiembre de 2020.

Cuando vuelva a emitir un pedido TLS anterior de 2 años después del 1 de septiembre de 2020, estamos obligados a limitar la validez a 397 días. Puede volver a emitir el Certificado nuevamente en el futuro (sin cargo) para volver a reclamar la validez original / restante. Para obtener más información, consulte nuestro artículo de soporte aquí, específicamente las preguntas frecuentes tituladas:

- ¿Qué sucede cuando vuelvo a emitir un certificado TLS/SSL existente de 2 años después de que este cambio entre en vigor?

¿Por qué mi pedido de certificado de cliente (es decir, PersonalSign / Code Signing / AATL) se canceló automáticamente antes de que tuviera la oportunidad de descargarlo / instalarlo (después de 7 o 30 días)?

Su certificado de cliente reemitida (PersonalSign, Code Signing, AATL) se cancelará automáticamente si no se descarga / instala dentro de los 7 días, para pedidos individuales o 30 días para pedidos de Enterprise PKI. Para resolver este problema, deberá localizar el número de pedido original y volver a emitir el certificado nuevamente. Descargue / recoja el certificado dentro del plazo recomendado anteriormente para evitar la cancelación automática en el futuro.

Related Articles

Protección de varios servidores - Certificados SSL

11 mar 2020, 12:41

Este artículo explica como proteger varios servidores con un certificado SSL. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Error Nombre del Certificado de Seguridad No Válido - Certificados SSL

11 mar 2020, 14:48

Cómo corregir el error "El nombre del certificado de seguridad no es válido" en los certificados SSL. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Cambiar la Información del Certificado Después de ser Emitido

12 mar 2020, 13:31

Este artículo explicará lo que se puede hacer si se requiere cambiar la información del certificado después de ser emitido. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Alertas de Sistema de GlobalSign

Ver alertas recientes del sistema.

Ver Alertas

Atlas Discovery

Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.

Registrarse

Prueba de Configuración para SSL

Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.

Contacte a Soporte

Contáctenos
close
Ventas: +34 91 1980803
Soporte: +34 91 1980803
Email: contacto@globalsign.com