Overgang til ny CA-struktur 4. kvartal 2012
Publisert dato: 09.05.2012
Buypass CA utsteder ulike typer digitale sertifikater i det norske markedet og vi planlegger overgang til ny CA-struktur for våre virksomhetssertifikater (VID) og kvalifiserte sertifikater (QC) i 4.kvartal 2012 (utsatt fra mai 2012).
En tilsvarende overgang for våre SSL-sertifikater vil også bli gjennomført, men dette blir ikke behandlet her.
Ny utstedende CA
Eksisterende Buypass Class 3 CA 1 er i ferd med å utløpe og vi planlegger å erstatte denne med en ny utstedende CA, senest i løpet av 4.kvartal 2012.
Buypass Class 3 CA 3 overtar som utsteder av VID og QC. Revokeringsstatustjenester (CRL og OCSP) og katalogoppslagstjenester (LDAP) vil skifte navn og alle referanser til disse tjenestenes URL-er må oppdateres.
I perioden fra 4.kvartal 2012 til 4.kvartal 2015 vil det finnes aktive sertifikater (VID og QC) utstedt under to forskjellige CA-er; Buypass Class 3 CA 1 og Buypass Class 3 CA 3. De som leverer systemer og tjenester basert på disse sertifikatproduktene må sørge for at sertifikater fra begge CA-er håndteres korrekt.
Ny CA-struktur
I forbindelse med overgang til ny utstedende CA vil vi også etablere en to-nivå CA-struktur der vi skiller mellom rot CA og utstedende CA. Dette er illustrert i figuren nedenfor:
Buypass Class 3 CA 1 (blå i figuren) utsteder VID og QC frem til 4.kvartal 2012 og opptrer både som rot CA og utstedende CA. Eksisterende rotsertifikat (blått rotsertifikat) erstattes av rotsertifikat med forlenget levetid (blått rotsertifikat merket +1). Begge rotsertifikater er tilgjengelig nederst på siden.
Buypass Class 3 CA 3 (grønn i figuren) overtar som utsteder av VID og QC i løpet av 4.kvartal 2012.
Vi etablerer samtidig Buypass Class 3 Rot CA som rot CA i denne to-nivå CA-strukturen der Buypass Class 3 CA 3 opptrer som (og bare som) utstedende CA.
Buypass Class 3 CA 1 holdes i utgangspunktet utenfor denne nye strukturen, men de som ønsker å kjede alle VID/QC til en felles rot kan få tilgang til et CA sertifikat der Buypass Class 3 Rot CA sertifiserer CA 1 (markert med blå stiplet linje i figuren).
Buypass Class 3 Rot CA benytter 4096 bits RSA-nøkkel og rot CA-en brukes primært til å utstede CA-sertifikater til utstedende CA-er. Alle utstedende CA-er som etableres i denne omgang benytter en 2048 bits RSA-nøkkel (som CA 1).
Vær oppmerksom på at ved innføring av en slik to-nivå CA-struktur, må applikasjoner og systemer forholde seg til revokeringsstatustjenester på begge nivåer. Buypass Class 3 Rot CA benytter CRL mens alle utstedende CA-er benytter både CRL og OCSP.
SHA256 som hashalgoritme
I forbindelse med denne overgangen til ny CA-struktur, benytter vi også anledningen til å innføre bruk av SHA256 som hashalgoritme i våre sertifikater, CRL-er og OCSP-responser. Dette gjelder både Buypass Class 3 Rot CA og Buypass Class 3 CA 3.
Alle nye rotsertifikater og CA-sertifikater er allerede basert på SHA256. Dette gjelder også nytt rotsertifikat for Buypass Class 3 CA 1med utvidet levetid.
Buypass Class 3 CA 1 vil som hovedregel fortsatt benytte SHA-1, men vi kan levere SHA256-baserte sertifikater på forespørsel.
Buypass Class 3 CA 1 rotsertifikater
Last ned Buypass Class 3 CA 1 rotsertifikat (SHA-1)
Thumbprint (SHA-1): 61 57 3a 11 df 0e d8 7e d5 92 65 22 ea d0 56 d7 44 b3 23 71
Last ned Buypass Class 3 CA 1 rotsertifikat – forlenget levetid (SHA-256)
Thumbprint (SHA-1): 82 6e 93 0a 28 0a 7c a4 7b 71 9e 23 5d 21 1d d6 ed ce 15 9d