Comodo Mobile SSL met Entrust root verdwijnt

  • 10 september 2012
  • vicus

Per 21 september 2012 worden de bekende en door Vicus veel uitgegeven MobileSSL certificaten van Comodo niet langer meer uitgegeven.

Het Comodo MobileSSL certificaat (of het Comodo Legacy certificaat zoals Comodo het MobileSSL certificaat zelf noemt) zal dan niet langer meer gebruikt worden voor het uitgeven van certificaten, omdat het root certificaat niet meer aan de laatste beveiligingseisen voldoet.

Waarom stopt Comodo met MobileSSL?

Ondanks het feit dat het Entrust root certificaat dat gebruikt wordt voor MobileSSL nog enkele jaren geldig is, stopt Comodo met het gebruik van dit root certificaat. Dit omdat het root certificaat zelf een sleutellengte van 1024 bit heeft, terwijl de nieuwe standaard 2048 bit is. Comodo anticipeert met deze actie op de beslissing van de browsers om vanaf 2014 geen 1024 bit root certificaten meer te vertrouwen.

Wat wijzigt er precies?

Per 21 september 2012 worden er geen certificaten meer uitgegeven uit de ‘Entrust Secure Server CA’. Na deze datum is het dus niet meer mogelijk de Comodo certificaten MobileSSL, MobileSSL Wildcard en MobileSSL UCC uit de Entrust root aan te vragen. In 2014 worden 1024 bits root certificaten niet meer vertrouwd in alle browsers.

Wat zijn de gevolgen?

Het root certificaat dat Comodo nu al gebruikt en zal blijven gebruiken is het AddTrust certificaat. Dit certificaat wordt reeds door 99.97% van de browsers en mobiele apparaten ondersteund, en wordt bijvoorbeeld ondersteund op iPhones, iPads en Android toestellen. Het AddTrust certificaat wordt echter niet vertrouwd door de browsers van verouderde mobiele toestellen zoals Windows Mobile 2002, 2003 en oude Nokia telefoons. Er kunnen binnenkort geen certificaten meer worden uitgegeven die standaard op deze toestellen vertrouwd worden. Het blijft mogelijk om deze toestellen te gebruiken, maar nieuwe root certificaten zullen handmatig of via een update moeten worden geïnstalleerd. Voor bedrijven die speciale hardware gebruiken voor het beveiligen van SSL verbindingen die alleen de 1024 bits root certificaten ondersteunen is er helaas geen alternatief meer beschikbaar. We raden deze bedrijven aan om hun hardware in ieder geval voor 2014 te vervangen voor hardware die 2048 bit root certificaten ondersteunt, en er voor te zorgen dat ze voor 21 september hun huidige certificaten verlengen.

Wat gebeurt er met actieve MobileSSL certificaten?

Reeds uitgegeven MobileSSL certificaten blijven gewoon geldig gedurende hun looptijd en zorgen nog steeds voor een veilige, versleutelde verbinding. Wel dienen deze certificaten voor 2014 te worden vervangen voor certificaten welke uitgegeven worden onder een 2048 bit root certificaat, tot die tijd kunnen de oude certificaten gewoon gebruikt worden. Uiteraard ruilen we de certificaten gratis om voor een nieuw certificaat uitgegeven onder een 2048 bits root certificaat.

Wat moet ik aanvragen in plaats van een MobileSSL certificaat?

Een alternatief voor het Comodo MobileSSL certificaat is bijvoorbeeld het Comodo InstantSSL certificaat. Dit certificaat wordt uitgegeven onder het 2048 bit AddTrust External CA Root CA. Het Multi Domein certificaat van Comodo blijft beschikbaar maar zal vanaf 21 september uitgegeven worden onder het AddTrust root certificaat. Bestaande klanten zullen bij de vervaldatum automatisch een door Vicus geselecteerd alternatief ontvangen. Houdt wel rekening met een klein prijsverschil!