Nové ROOT certifikáty

Certifikačné autority reagujú na nové požiadavky a zásady od spoločností Mozilla a Google a nasadzujú nové Root certifikáty, aby sa im prispôsobili a ich certifikáty boli v prehliadačoch dôveryhodné. Tieto zmeny zároveň zodpovedajú vyvíjajúcim sa bezpečnostným požiadavkám a sledujú priemyselné štandardy a pravidlá stanovené fórom CA/Browser pre Root certifikáty.

Pokiaľ používate aktuálne operačné systémy a prehliadače a vaši zákazníci/návštevníci webových stránok tiež, veľmi pravdepodobne si zmien nevšimnete.
Pre staršie alebo neaktualizované systémy (napr. staršie verzie Androidu < ver. 14) je nutné nainštalovať na server tzv. krížové certifikáty (cross-certifikáty), aby bolo zabezpečené neprerušené a správne fungovanie SSL certifikátov, vrátane S/MIME certifikátov.
Cross-certifikát sa pri inštalácii umiestňuje na koniec hierarchie ROOT certifikátov do tzv. certifikačného reťazca (intermediate certifikátov), ktorý sa inštaluje na server súčasne s vystaveným certifikátom.

Obsah článku

CA DigiCert (Thawte, GeoTrust a RapidSSL)
CA Certum
CA Sectigo (PositiveSSL)
FAQ
Inštalácia cross-certifikátov na IIS

Skryť detaily článku

CA DigiCert (Thawte, GeoTrust, RapidSSL)

Certifikačná autorita DigiCert začala migráciu svojich Root certifikátov druhej generácie (G2) už v roku 2023. Informácie o zmenách publikuje na stránke DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum zaviedlo nové Root certifikáty v súlade so zásadami Mozilly a Googlu dňa 15. septembra 2025. Je dôležité vedieť, že sa rozlišujú certifikáty s RSA alebo eliptickými krivkami (ECC). Viac informácií publikuje CA Certum na stránke Certum implements new Root CAs

CA Sectigo

CA Sectigo začala migráciu verejných Root CAs v roku 2025, konkrétne v apríli (EV), máji (OV) a júni (DV certifikáty, PositiveSSL certifikáty). Viac informácií publikuje na stránke Sectigo KB - Public Root CAs Migration

PositiveSSL certifikáty

Aby boli tieto obľúbené SSL certifikáty dôveryhodné aj v starších verziách OS a prehliadačov, je potrebné pridať USERTrust cross-certifikát do Root certifikátov. Ak nemáte kompletný CA Bundle súbor, môžete si ho tu stiahnuť.

Intermediate certifikáty v súbore cabundle-positivessl.txt (download):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Platnosť do: 21. marca 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Platnosť do: 18. januára 2038
            ---
            CN: USERTrust RSA Certification Authority
            Platnosť do: 18. januára 2038
            ---

FAQ

Prečo sú tieto zmeny potrebné?

Tieto zmeny sú nevyhnutné na zabezpečenie bezpečnosti a dôveryhodnosti SSL/TLS certifikátov v súlade s aktuálnymi bezpečnostnými štandardmi a požiadavkami. Staršie Root certifikáty môžu mať slabšie zabezpečenie alebo nemusia spĺňať nové požiadavky, čo môže viesť k problémom s kompatibilitou a dôveryhodnosťou certifikátov.

Čo je vhodné urobiť

Ukončiť Certificate Pinning, ak sa používa
Aktualizovať používané certifikáty
Aktualizovať vaše systémy

Čo je to cross-signing?

Certifikačné autority často spravujú viac Root certifikátov a vo všeobecnosti platí, že čím starší ROOT, tým širšia je jeho distribúcia na starších platformách. Aby to mohli využiť, generujú cross-certifikáty, aby zabezpečili čo najširšiu podporu svojich certifikátov. Cross-certifikát znamená, že jeden Root certifikát podpisuje druhý Root certifikát.
Viac informácií: Sectigo KB - What is Cross-Signing?

Kde hľadať ďalšie informácie

Google Chrome: Google Chrome Root Program Policy
Microsoft: Microsoft Trusted Root Program
Mozilla: Mozilla Root Store Policy
CA/B Forum: cabforum.org

Inštalácia nových Root certifikátov v systémoch Windows (IIS)

Nové ROOT certifikáty sú pravidelne pridávané do Windows Update, ale ak chcete mať istotu, že sú nainštalované, môžete ich stiahnuť a nainštalovať ručne. Niekedy však môže nastať problém pri certifikátoch webových stránok, ktoré majú viac dôveryhodných certifikačných ciest ku koreňovým certifikačným autoritám. Certifikát webu sa potom javí návštevníkom so staršími systémami ako nedôveryhodný, čo spôsobuje chýbajúci cross-certifikát, ktorý IIS správne nezverejňuje.
Riešenie pre administrátorov IIS je tu: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

Kam ďalej?

Späť na Nápovedu
Našli ste chybu alebo niečomu nerozumiete? Napíšte nám!

SSLmentor

new roots