20230117 - Fin de l'utilisation des racines G1 de DigiCert
À partir du 8 mars 2023 tous les certificats SSL du groupe DigiCert (DigiCert, Thawte, Geotrust, RapidSSL) seront émis sur une hiérarchie de deuxième génération (G2).
L'utilisation des chaînes G5 est donc finalement reportée.
Pourquoi ?
Cette décision est une conséquence directe de la nouvelle politique de gestion de racines de Mozilla prévoyant notamment une période maximale d'utilisation des certificats racines.
À partir de 2025, Mozilla commencera à déréférencer de ses navigateurs des racines jugées trop vieilles y compris certaines émanant de DigiCert.
Les certificats d'entité finale émis sur les hiérarchies concernées ne seront alors plus reconnus par les outils Mozilla.
Quelles conséquences pour vos certificats ?
Pour les certificats en cours de validité : aucune.
Pour les certificats émis après le 8 mars 2023 : même si les hiérarchies G2 sont largement répandues, il existe un risque de perte (minime) de reconnaissance.
De même, cela peut poser un problème si l'acceptation des certificats racines ou intermédiaires est codée en dur dans vos systèmes ou encore si vous exploitez un Trust Store.
Dans ce cas il faudra mettre à jour votre environnement avant le 8 mars 2023.
Les alternatives
Il sera encore possible d’émettre des certificats sur la hiérarchie G1 pendant quelques mois en choisissant l’option hiérarchie SHA1 sur nos formulaires.
De même, il sera possible de passer directement sur la hiérarchie G5, qui prendra le relais de la G2 à terme. Les demandes devront être préalablement adressées à notre service client et seront traitées au cas par cas.
Les nouvelles racines
Le tableau ci-dessous indique quels certificats racines et intermédiaires remplaceront ceux actuellement utilisés par vos certificats SSL :