Pourquoi dois-t-on procéder au renouvellement des certificats des Autorités de Certification de l'IGC CNRS ?

Pourquoi dois-t-on procéder au renouvellement des certificats des Autorités de Certification de l'IGC CNRS ?

Pour des raisons de dates d'expiration des certificats des ACs de l'IGC CNRS, ainsi que l'apparition de nouvelles failles de sécurité sur certains algorithmes, une opération de renouvellement de ces certificats est nécessaire.
Cette opération a consisté à créer de nouveaux certificats et à créer ainsi la nouvelle arborescence d'ACs représentée ci-dessous

Ces nouvelles ACs remplaceront les anciennes ACs, en appliquant les mêmes politiques de certification, en particulier concernant les règles de délivrance des certificats.

Anciennes ACs	Nouvelles ACs
CNRS	CNRS2
CNRS-Plus	CNRS2-Plus
CNRS-Standard	CNRS2-Standard
CNRS-Projets	CNRS2-Pojets
GRID-FR	GRID2-FR
Partenaires CNRS	Partenaires-CNRS2
SIG	SIG2
GDR2825	GDR2825-2

Que peut-on faire maintenant?

Les nouveaux certificats d'AC sont disponibles à l'adresse :

https://igc.services.cnrs.fr/Doc/cnrs2-ca-chains.tar

Il est important que les administrateurs des sites utilisant ou acceptant des certificats de l'ancienne arborescence CNRS (CNRS-Plus, CNRS-Standard, ...) récupèrent les nouveaux certificats ainsi que leur CRL associée pour les installer dans la configuration de leurs applications.
Typiquement, un serveur HTTPS acceptant des certificats personnels CNRS-Standard devra accepter des certificats personnels CNRS2-Standard. Cela devra être fait avant le démarrage de l'émission des certificats par les nouvelles ACs.

Le tableau ci-dessous indique pour chaque AC :

l'url de son interface
l'url de récupération de la CRL
son empreinte numérique

ACs	URLs	CRLs	Empreinte SHA1
CNRS2	https://igc.services.cnrs.fr/CNRS2	http://crls.services.cnrs.fr/CNRS2/getpem.crl	CB:DB:7E:C3:1C:97:1A:61:77:03:50:C7:C1:7E:63:52:81:E5:76:7A
CNRS2-Plus	https://igc.services.cnrs.fr/CNRS2-Plus	http://crls.services.cnrs.fr/CNRS2-Plus/getpem.crl	AE:6D:4F:42:F2:8F:5E:5D:46:6F:89:B0:0E:33:74:00:EB:92:E3:67
CNRS2-Standard	https://igc.services.cnrs.fr/CNRS2-Standard	http://crls.services.cnrs.fr/CNRS2-Standard/getpem.crl	D1:0B:08:80:D9:34:48:6C:55:6E:E2:12:9C:F8:67:C1:76:83:1E:71
CNRS2-Projets	https://igc.services.cnrs.fr/CNRS2-Projets	http://crls.services.cnrs.fr/CNRS2-Projets/getpem.crl	14:29:FD:40:0F:D8:9D:6B:86:4E:6D:A6:3A:52:80:7E:34:A0:5D:35
GRID2-FR	https://igc.services.cnrs.fr/GRID2-FR	http://crls.services.cnrs.fr/GRID2-FR/getpem.crl	4C:2B:53:7C:FB:00:FC:7A:44:B7:CD:80:73:26:8B:52:BD:5B:B3:0C
Partenaires-CNRS2	https://igc.services.cnrs.fr/Partenaires-CNRS2	http://crls.services.cnrs.fr/Partenaires-CNRS2/getpem.crl	CF:CC:31:1A:26:D0:D1:EB:CE:C6:3F:72:E0:01:A1:9E:0B:67:D4:72
SIG2	https://igc.services.cnrs.fr/SIG2	http://crls.services.cnrs.fr//SIG2/getpem.crl	21:14:F5:6B:66:A6:9C:78:9C:B0:F5:35:01:6C:D9:20:59:62:33:D2
GDR2825-2	https://igc.services.cnrs.fr/GDR2825-2	http://crls.services.cnrs.fr/GDR2825-2/getpem.crl	25:EF:3F:BC:64:F6:E8:5B:8C:FC:9B:DB:30:9C:A2:18:0D:EE:20:68

Comment se fera la bascule?

Pour l'instant, aucun certificat ne sera délivré par ces nouvelles ACs . Les anciennes ACs restent opérationnelles pour la délivrance des certificats jusqu'à la date de bascule qui devrait se situer dans la 2ème quinzaine de mars 2009.

A cette date, Il ne sera plus possible de demander ou de renouveler un certificat dans les anciennes Autorités de Certification. Les utilisateurs seront redirigés vers l'interface correspondante à la nouvelle Autorité de Certification.

Les anciennes Autorités de Cerification resteront ensuite opérationnelles et ce jusque leur date d'expiration  pour la gestion des certificats en cours de validité (vérification, révocation..).