Comodo SSL-certificaten worden Sectigo: een update

Oorspronkelijk werd aangekondigd dat de overgang van Comodo naar Sectigo SSL-certificaten enkel een verandering van naam en logo zou inhouden. Nu blijkt er ook een aanpassing in de root-structuur gebeurd te zijn, die voor sommige clients problemen oplevert. Een update.

Wijziging root-structuur

Comodo SSL certificatenIn ons artikel "Je Comodo SSL-certificaat krijgt een nieuwe naam: Sectigo" kondigden wij aan dat deze operatie puur een uiterlijke wijziging zou inhouden in de naam en het logo, te gebruiken voor het SSL-certificaat. Aan de root zelf zou niets veranderen, zo stelden wij, gebaseerd op de informatie die toen beschikbaar was.

Ontdek onze SSL-certificaten 

Ondertussen blijkt dat de root structuur wel degelijk gewijzigd is, en ook de intermediate certificaten. In plaats van de Comodo Root CA wordt voortaan de USERTrust Root CA gebruikt. Dat bestaat sinds 2010 en wordt eveneens door de meeste browsers ondersteund.

Maar bij oudere besturingssystemen of clients kan toch een probleem opduiken: zij herkennen het certificaat niet. Gevolg: de gebruiker krijgt een foutmelding in zijn browser. Hij zal de site niet vertrouwen, en de site verlaten. Met een gemiste verkoop van product of dienst tot gevolg…

Bij deze toestellen / browsers wordt het probleem vastgesteld

Sectigo SSl certificatenHet RSA USERTrust certificaat wordt niet ondersteund door MacOS 10.11-toestellen of lager. Ook andere toestellen met een verouderd besturingssysteem zoals een oudere versie van Android kunnen een foutmelding geven wanneer de bezoeker op een site belandt waar het nieuwe Sectigo-certificaat geïnstalleerd is.

Dit geldt ook voor verouderde clients of software.

Zo los je dit op

De simpelste en veiligste manier is gewoon het besturingssysteem te updaten - het MacOS naar minstens 10.12 of hoger. En alle meldingen over het niet vertrouwde Root certificaat verdwijnen als sneeuw voor de zon! Zo'n update is heel simpel uit te voeren, via de App store.

Er is nog een andere manier, maar die raden wij niet aan. Je zou namelijk bij ons een nieuw SSL-certificaat kunnen aankopen van een andere merknaam, zoals Geotrust of RapidSSL. Maar dat  raden wij af omdat dit je voor onnodige kosten zet. Je oude Comodo/ Sectigo certificaat is immers nog altijd geldig tot zijn vervaldag!

Gewoon je besturingssysteem updaten is de beste én veiligste manier!

De achterliggende uitleg

De beveiliging via SSL is gebaseerd op een Chain of Trust. Die gaat van de Certificate Authority (CA), via de certificaatuitgever (zoals Comodo / Sectigo) tot jouw eigen SSL-certificaat. Dat is ondertekend door een CA, en wordt door de browser dan ook aanvaard.

De identiteit van de verschillende CA's zit standaard in de browser, via de root certificaten van de CA. Browsermakers zoals Mozilla, Google en Microsoft zorgen bij updates ervoor dat de verouderde of vervallen certificaten automatisch vervangen worden door nieuwe.

Nu moet zo'n Certificate Authority aan erg strenge veiligheidsvoorwaarden voldoen, om te kunnen verzekeren dat de certificaten niet gecompromitteerd worden. Daarom maakt een certificaatuitgever zoals Comodo/Sectigo gebruik van tussenliggende of intermediate certificaten om de SSL-certificaten te ondertekenen. De bedoeling: wanneer de private sleutel van één van de intermediate certificaten gekaapt wordt, dan zijn enkel de certificaten gecompromitteerd die van dit tussenliggend certificaat afhangen en blijft de private sleutel van het root certificaat ongeschonden.

Waarom SSL?

SSL-certificaten van CombellNog even dit ter herhaling: wil je een beveiligde https-website aanbieden, dan het je daarvoor een SSL-certificaat nodig. Beveiligde sites boezemen je bezoeker meer vertrouwen in, en krijgen in de zoekmachines een hogere ranking.

Meer over onze SSL-certificaten