Actualizaciones Importantes para Certificados SSL
Queremos compartir con usted algunos cambios importantes y actualizaciones de producto que ocurrirán en las próximas semanas a nuestros productos de certificados SSL, y los cuales podrían impactarlo a usted y a sus clientes.
GlobalSign realizará una actualización de certificados intermedios para certificados de clientes el 11 de Julio de 2016, incluyendo los siguientes productos:
· Certificados PersonalSign (SHA2)
· Certificados PersonalSign EPKI (SHA2)
· Certificados Code Signing (Firma de Código) (SHA2)
· Certificados EV Code Signing Certificates (SHA2)
La mayoría de los clientes no serán afectados por este cambio ya que los certificados intermedios automáticamente se instalarán en el navegador cuando el certificado es instalado.
Sin embargo, es importante tener en cuenta que los clientes que instalen manualmente los certificados PersonalSign para la autenticación de clientes en el protocolo SSL/TLS deberán instalar los certificados intermedios nuevos en sus servidores al renovar los certificados existentes después del 11 de Julio de 2016. Por favor asegúrese que sus clientes conocen este cambio y verifican sus servicios para garantizar que los nuevos certificados intermedios funcionan en sus sistemas. GlobalSign no podrá restaurar este cambio ni hará excepciones para emitir certificados a partir de las raíces intermedias antiguas.
Cambios a SSL que contienen direcciones IP
Durante varios años, GlobalSign ha incluido las direcciones IP codificadas como IPAddress y dNSName dentro de los SANs de los certificados SSL. Esta opción es compatible con navegadores con distintos métodos de validación de sitios web ejecutados en direcciones IP. En la actualidad, Chrome exige que las direcciones IP se codifiquen como IPAddress. Por su parte, Microsoft IE y Edge en Windows 8.1 y versiones anteriores exigen que las direcciones IP se codifiquen como dNSName. La opción actual de incluir ambas versiones es compatible con un mayor número de navegadores y ha sido el método predeterminado de emisión de certificados con direcciones IP.
Sin embargo, este enfoque no es compatible con el RFC 5280. Asimismo, la lógica de validación más reciente de Mozilla Firefox para direcciones IP ya no soporta direcciones IP codificadas como dNSNames. Con el fin de cumplir estrictamente lo estipulado en el RFC 5280, a partir del 15 de junio de 2016, GlobalSign únicamente codificará las direcciones IP como iP Address, y dejará de incluirlas codificadas como dNSName.
Impacto para los Certificados existentes
Los clientes existentes que utilizan certificados con una IP codificada en el dNSName no se verán afectados y podrán continuar usándolos hasta su fecha de vencimiento. En el caso de que el certificado sea reemitido o renovado tras esta fecha, se emitirá únicamente con la entrada SAN iPAddress. También es posible re emitir los certificados existentes con el objetivo de eliminar todas las direcciones IP codificadas como dNSName para ofrecer una compatibilidad total con FireFox.
Impacto para los pedidos de nuevos certificados
Como se explicó anteriormente, este cambio afectará a los navegadores de Microsoft que ejecuten Windows 8.1 o una versión anterior, ya que los navegadores de Microsoft no validarán correctamente los certificados SSL cuando la dirección IP esté incluida únicamente en el campo iPAddress. En el caso de que el certificado SSL deba ser compatible con los navegadores Microsoft y deba incluir una dirección IP, la opción es la siguiente: Solicite un certificado único para cada dirección IP en el que la dirección IP esté contenida en el nombre común y en el SAN como iP Address. Cuando la dirección IP esté incluida en el Nombre Común (Common name), el certificado será validado correctamente por todos los navegadores.
Los usuarios podrán seguir solicitando certificados SSL con validación de organización multidominio (multi-domain) e incluir la dirección IP como SAN.
Compatibilidad con Windows
Si tus clientes utilizan certificados para direcciones IP en locaciones que requieren compatibilidad con Windows 8.1 o versiones anteriores, deberá solicitar un certificado único para cada dirección IP que incluya la dirección IP en el Nombre Común (Common name).
Neothek ofrece servicios de web hosting , registro de dominios y certificados SSL y diseño de páginas web..
Actualizaciones Importantes para Certificados SSL
Queremos compartir con usted algunos cambios importantes y actualizaciones de producto que ocurrirán en las próximas semanas a nuestros productos de certificados SSL, y los cuales podrían impactarlo a usted y a sus clientes.
GlobalSign realizará una actualización de certificados intermedios para certificados de clientes el 11 de Julio de 2016, incluyendo los siguientes productos:
· Certificados PersonalSign (SHA2)
· Certificados PersonalSign EPKI (SHA2)
· Certificados Code Signing (Firma de Código) (SHA2)
· Certificados EV Code Signing Certificates (SHA2)
La mayoría de los clientes no serán afectados por este cambio ya que los certificados intermedios automáticamente se instalarán en el navegador cuando el certificado es instalado.
Sin embargo, es importante tener en cuenta que los clientes que instalen manualmente los certificados PersonalSign para la autenticación de clientes en el protocolo SSL/TLS deberán instalar los certificados intermedios nuevos en sus servidores al renovar los certificados existentes después del 11 de Julio de 2016. Por favor asegúrese que sus clientes conocen este cambio y verifican sus servicios para garantizar que los nuevos certificados intermedios funcionan en sus sistemas. GlobalSign no podrá restaurar este cambio ni hará excepciones para emitir certificados a partir de las raíces intermedias antiguas.
Cambios a SSL que contienen direcciones IP
Durante varios años, GlobalSign ha incluido las direcciones IP codificadas como IPAddress y dNSName dentro de los SANs de los certificados SSL. Esta opción es compatible con navegadores con distintos métodos de validación de sitios web ejecutados en direcciones IP. En la actualidad, Chrome exige que las direcciones IP se codifiquen como IPAddress. Por su parte, Microsoft IE y Edge en Windows 8.1 y versiones anteriores exigen que las direcciones IP se codifiquen como dNSName. La opción actual de incluir ambas versiones es compatible con un mayor número de navegadores y ha sido el método predeterminado de emisión de certificados con direcciones IP.
Sin embargo, este enfoque no es compatible con el RFC 5280. Asimismo, la lógica de validación más reciente de Mozilla Firefox para direcciones IP ya no soporta direcciones IP codificadas como dNSNames. Con el fin de cumplir estrictamente lo estipulado en el RFC 5280, a partir del 15 de junio de 2016, GlobalSign únicamente codificará las direcciones IP como iP Address, y dejará de incluirlas codificadas como dNSName.
Impacto para los Certificados existentes
Los clientes existentes que utilizan certificados con una IP codificada en el dNSName no se verán afectados y podrán continuar usándolos hasta su fecha de vencimiento. En el caso de que el certificado sea reemitido o renovado tras esta fecha, se emitirá únicamente con la entrada SAN iPAddress. También es posible re emitir los certificados existentes con el objetivo de eliminar todas las direcciones IP codificadas como dNSName para ofrecer una compatibilidad total con FireFox.
Impacto para los pedidos de nuevos certificados
Como se explicó anteriormente, este cambio afectará a los navegadores de Microsoft que ejecuten Windows 8.1 o una versión anterior, ya que los navegadores de Microsoft no validarán correctamente los certificados SSL cuando la dirección IP esté incluida únicamente en el campo iPAddress. En el caso de que el certificado SSL deba ser compatible con los navegadores Microsoft y deba incluir una dirección IP, la opción es la siguiente: Solicite un certificado único para cada dirección IP en el que la dirección IP esté contenida en el nombre común y en el SAN como iP Address. Cuando la dirección IP esté incluida en el Nombre Común (Common name), el certificado será validado correctamente por todos los navegadores.
Los usuarios podrán seguir solicitando certificados SSL con validación de organización multidominio (multi-domain) e incluir la dirección IP como SAN.
Compatibilidad con Windows
Si tus clientes utilizan certificados para direcciones IP en locaciones que requieren compatibilidad con Windows 8.1 o versiones anteriores, deberá solicitar un certificado único para cada dirección IP que incluya la dirección IP en el Nombre Común (Common name).
Neothek ofrece servicios de web hosting , registro de dominios y certificados SSL y diseño de páginas web..