6 de jul. de 2022

Revogações de ICA e Etapas de Correção

Notificação Importante

O setor de Autoridade de Certificação (CA) foi alertado sobre as implicações de conformidade relacionadas à inclusão de uma extensão específica (uso de chave estendida de assinatura de OCSP) em certificados de CA que tem, sob certas condições, conformidade não intencional e implicações de segurança. Várias CAs emissoras da GlobalSign foram afetadas por esse problema. Embora nenhum comprometimento importante ou incidente de segurança tenha ocorrido, iremos revogar esses CAs emissores como parte de nosso plano de remediação, de acordo com os Requisitos de Base do Fórum CA / B e o CPS GlobalSign. Certificados intermediários revogados podem causar erros na validação de certificados assinados por esses Certificados Intermediários.
Para evitar possíveis interrupções, consulte o gráfico abaixo para determinar se você tem certificados que podem ser afetados e siga os itens de ação / recomendações:

ITENS DE AÇÃO:

Pode ser necessário reemitir e reinstalar os Certificados devido ao incidente descrito acima.
Consulte a lista de produtos abaixo que foram afetados e as etapas de remediação, cronogramas e orientações por produto.
Não emita novamente nenhum Certificado PersonalSign até que a CA emissora seja substituída em 11 de novembro de 2020

ETAPAS DE REMEDIAÇÃO:

Usando o gráfico abaixo, determine se você possui algum Certificado (por tipo de produto) que pode ser afetado pelas próximas revogações. Em seguida, siga estas 3 etapas:

1. Pesquise os certificados afetados em sua conta GCC por tipo de produto - Etapa 1) abaixo
2. Emita novamente qualquer certificado(s) impactado(s) - Etapa 2) abaixo
3. Reinstale o novo certificado - Etapa 3) abaixo

 

Perguntas frequentes

Por que os certificados precisam ser reemitidos?

Por motivos de conformidade, a GlobalSign teve que interromper o uso de vários certificados intermediários (mais especificamente, Autoridades de certificação intermediárias) para emitir certificados aos clientes. Esses certificados intermediários descontinuados devem ser revogados de dezembro de 2020 a fevereiro de 2021. Veja os prazos específicos no gráfico acima. A revogação de Certificados Intermediários pode levar a complicações com a validação de Certificados Digitais, impactando sua validade e funcionalidades pretendidas.

Existe uma explicação técnica específica?

A inclusão de uma certa extensao de "Uso de chave" (id-kp-OCSPSigning) permitiria que uma CA emissora atuasse como uma respondente de OCSP e se comportasse como a própria CA raiz original. Essa possibilidade permitiria a manipulação do estatus de validade, pois uma outra AC poderia se comportar como AC emissora original, alterando a validade dos certificados que compartilhem da mesma cadeia.

Existe um risco de segurança imediato?

Não. Nenhum comprometimento de chave ou incidente de segurança ocorreu, a mudança é realizada exclusivamente no contexto de remediar um problema de conformidade e abordar qualquer risco de segurança potencial não materializado.

Quais produtos são afetados?

Os seguintes produtos GlobalSign são afetados:

• Certificados SSL validados por domínio
• Certificados de assinatura de documentos AATL
• Certificados PersonalSign (pedidos individuais e pedidos ePKI): PersonalSign 1, PersonalSign 2, PersonalSign2 Pro (incluindo certificados NAESB ePKI Pro) e certificados de departamento PersonalSign 2.

Certificados específicos que são afetados:

• Todos os certificados SSL validados por domínio emitidos antes de: 15 de agosto de 2020 e expirando após 31 de dezembro de 2020
• Todos os certificados de assinatura de documentos AATL emitidos antes de 14 de outubro de 2020 e expirando após 21 de janeiro de 2021
• Todos os certificados de departamento PersonalSign 1, PersonalSign 2, PersonalSign 2 Pro e PersonalSign 2 emitidos antes de 12 de novembro de 2020 e expirando após 24 de fevereiro de 2021
• Todos os certificados PersonalSign 2 Pro NAESB emitidos antes de: 28 de outubro de 2020 e expirando após 24 de fevereiro de 2021

O que precisa ser feito?

• Os certificados afetados devem ser reemitidos antes das datas de revogação.
• Isso significa que uma nova cópia do Certificado será gerada com a mesma data de validade e as mesmas informações de assunto, mas assinada pelos novos Certificados Intermediários.
• A reemissão do certificado é GRATUITA
• * Os certificados reemitidos devem então ser instalados para substituir a versão anterior do certificado.
• Quando você reemite um certificado, os novos certificados intermediários serão instalados automaticamente quando o certificado for instalado
• Para casos de uso avançados, você pode obter os novos ICAs nesta página: https://support.globalsign.com/ca-certificates/intermediate-certificates

Quais são os prazos para reemissão por tipo de produto?

• Todos os certificados SSL validados por domínio devem ser reemitidos antes de 21 de janeiro de 2021
• Todos os certificados de assinatura de documentos AATL devem ser reemitidos antes de 31 de dezembro de 2020
• Todos os certificados de departamento PersonalSign 1, PersonalSign 2, PersonalSign 2 Pro e PersonalSign 2 devem ser reemitidos antes de 24 de fevereiro de 2021
• Todos os certificados PersonalSign 2 Pro NAESB devem ser reemitidos antes de 24 de fevereiro de 2021

Como os clientes estão sendo contatados?

• A GlobalSign enviará várias comunicações por e-mail e lembretes aos contatos do administrador e do gerente listados em sua conta.
• Incentivamos os clientes a obter relatórios para determinar quais certificados são afetados (mesmo se você não receber as comunicações por email).

O que acontece se um certificado não for reemitido antes da data de revogação? Qual é o impacto do evento de revogação?

Uma vez que o evento de revogação ocorre, o funcionamento do certificado não pode ser assegurado como pretendido e muito provavelmente aparecerão como inválidos / não confiáveis.
Nota importante: as datas de revogação NÃO podem ser adiadas, estendidas ou atrasadas.

Existe alguma outra opção para substituição além da reemissão de certificados?

• Os certificados podem ser renovados em vez de reemitidos. Para poder fazer isso, no entanto, sua data de vencimento não pode ser superior a 90 dias após a data de revogação (30 dias para DV SSL), pois somente então a opção de renovar os Certificados estará disponível.
  • A renovação de Certificados equivale à emissão de um novo Certificado com nova validade e, portanto, não gratuita. Todos os termos usuais para renovação de certificado se aplicam.
• Certificados que foram emitidos com um período de validade de mais de 825 dias não podem mais ser reemitidos. Para substituir esses certificados, eles devem ser renovados ou um novo pedido deve ser feito.

Por que a validade do meu certificado DV SSL / TLS de 2 anos foi reduzida após a reemissão?

A GlobalSign não pode mais emitir certificados SSL / TLS publicamente confiáveis ​​com períodos de validade superiores a 397 dias devido a mudanças nas políticas da Apple e do Google Root Store, a partir de 1º de setembro de 2020.

Quando você reemite um pedido TLS de 2 anos anterior após 1 de setembro de 2020, somos obrigados a limitar a validade a 397 dias. Você pode reemitir o Certificado novamente no futuro (gratuitamente) para reivindicar a validade original / restante. Para obter mais informações, consulte nosso Artigo de suporte aqui - especificamente o FAQ intitulado:

O que acontece quando eu reemito um certificado TLS / SSL de 2 anos existente depois que essa alteração entrar em vigor?

Por que meu pedido de certificado de cliente (PersonalSign / Code Signing / AATL) foi cancelado automaticamente antes que eu pudesse fazer o download / instalar (após 7 ou 30 dias)?

Seu Certificado de Cliente reemitido (PersonalSign, Code Signing, AATL) será automaticamente cancelado se não for baixado / instalado em 7 dias - para pedidos individuais ou 30 dias para pedidos Enterprise PKI. Para resolver esse problema, você precisará localizar o número do pedido original e emitir o certificado novamente. Faça download / pegue o certificado dentro do prazo recomendado acima para evitar o cancelamento automático no futuro.