L'algorithme de signature SHA1 n'étant plus recommandé à terme, le service TCS émet des certificats basés sur SHA1 pour tous ceux qui sont valides jusqu'au 31 décembre 2015 et des certificats basés sur SHA2 pour ceux qui vont au-delà de cette date (tous les certificats de plus d'un an à partir d'octobre 2014).

Les certificats d'autorités de certification SHA1 (TERENA SSL CA)

Les certificats serveurs proposés par le service TCS sont délivrés par l'autorité de certification TERENA SSL CA. Cette autorité est une autorité fille de UTN USERFIRST HARDWARE, elle-même fille de AddTrust External CA Root, qui apparaît sous l'intitulé AddTrust External CA Root dans les magasins de certificats des navigateurs.

La chaîne de certification SHA1 (TERENA SSL CA)

Un serveur utilisant un certificat TCS doit être configuré (avec Apache via la directive SSLCertificateChainFile) pour présenter une chaîne de certification qui regroupe le certificat de l'autorité “TERENA SSL CA” et des autorités de certification mères.

Cette chaîne est fournie avec chaque certificat délivré, vous pouvez cependant la télécharger ici.

Les certificats d'autorités de certification SHA2 (TERENA SSL CA 2)

Les certificats serveurs SHA2 proposés par le service TCS sont délivrés par l'autorité de certification TERENA SSL CA 2. Cette autorité est une autorité fille de USERTrust RSA Certification Authority, elle-même fille de AddTrust External CA Root, qui apparaît sous l'intitulé AddTrust External CA Root dans les magasins de certificats des navigateurs.

La chaîne de certification SHA2 (TERENA SSL CA 2)

Un serveur utilisant un certificat TCS doit être configuré (avec Apache via la directive SSLCertificateChainFile) pour présenter une chaîne de certification qui regroupe le certificat de l'autorité “TERENA SSL CA” et des autorités de certification mères.

Cette chaîne est fournie avec chaque certificat délivré, vous pouvez cependant la télécharger ICI.

Les listes de révocation

La liste de révocation des certificats serveurs TERENA SSL CA proposés par le service TCS est disponible à l'URL suivante : http://crl.tcs.terena.org/TERENASSLCA.crl.

:!: Attention ! Elle est au format DER. Apache n'accepte pas les CRL au format DER, il accepte les CRL seulement au format PEM. Pour convertir une CRL du format DER au format PEM, utilisez la commande OpenSSL suivante :

openssl crl -inform DER -in crl.crl -outform PEM -out crl.pem

La validation des certificats émis par cette AC peut aussi se faire au moyen du service OCSP à l'aide du serveur : http://ocsp.tcs.terena.org