Nové ROOT certifikáty
Certifikační autority reagují na nové požadavky a zásady od společností Mozilla a Google a nasazují nové kořenové certifikáty, aby se jim přizpůsobily a jejich certifikáty byly v prohlížečích důvěryhodné. Tyto změny zároveň odpovídají vyvíjejícím se bezpečnostním požadavkům a sledují průmyslové standardy a pravidla stanovená fórem CA/Browser pro kořenové certifikáty.
Pokud používáte aktuální operační systémy a prohlížeče a vaši zákazníci/návštěvníci webových stránek také, velmi pravděpodobně si změn nevšimnete.
Pro starší nebo neaktualizované systémy (např. starší verze Androidu < ver. 14) je nutné nainstalovat na server tzv. křížové certifikáty (cross-certifikáty), aby bylo zajištěno nepřerušené a správné fungování SSL certifikátů, včetně S/MIME certifikátů.
Cross-certifikát se při instalaci umisťuje na konec hyerarchie ROOT certifikátů do tzv. certifikačního řetězce (intermediate certifikátů), který se instaluje na server současně s vystaveným certifikátem.
Obsah článku
- CA DigiCert (Thawte, GeoTrust a RapidSSL)
- CA Certum
- CA Sectigo (PositiveSSL)
- FAQ
- Instalace cross-certifikátů na IIS
CA DigiCert (Thawte, GeoTrust, RapidSSL)
Certifikační autorita DigiCert zahájila migraci svých Root certifikátů druhé generace (G2) již v roce 2023. Informace o změnách publikuje na stránce DigiCert root and intermediate CA certificate updates 2023.
CA Certum
CA Certum zavedlo nové Root certifikáty v souladu se zásadami Mozilly a Googlu dne 15. září 2025. Je důležité vědět, že se rozlišují certifikáty s RSA nebo elyptickými křivkami (ECC). Více informací publikuje CA Certum na stránce Certum implements new Root CAs
CA Sectigo
CA Sectigo zahájila migraci veřejných Root CAsv roce 2025, konkrétně v dubnu (EV), květnu (OV) a červnu (DV certifikáty, PositiveSSL certifikáty). Více informací publikuje na stránce Sectigo KB - Public Root CAs Migration
PositiveSSL certifikáty
Aby byly tyto oblíbené SSL certifikáty důvěryhodné i ve starších verzích OS a prohlížečů, je potřeba přidat USERTrust cross-certifikát do kořenových certifikátů. Pokud nemáte kompletní CA Bundle soubor, můžete si jej zde stáhnout.
Mezilehlé certifikáty v souboru cabundle-positivessl.txt (download):
---
CN: Sectigo Public Server Authentication CA DV R36
Platnost do: 21. března 2036
---
CN: Sectigo Public Server Authentication Root R46
Platnost do: 18. ledna 2038
---
CN: USERTrust RSA Certification Authority
Platnost do: 18. ledna 2038
---
FAQ
Proč jsou tyto změny potřeba?
Tyto změny jsou nezbytné k zajištění bezpečnosti a důvěryhodnosti SSL/TLS certifikátů v souladu s aktuálními bezpečnostními standardy a požadavky. Starší kořenové certifikáty mohou mít slabší zabezpečení nebo nemusí splňovat nové požadavky, což může vést k problémům s kompatibilitou a důvěryhodností certifikátů.
Co je vhodné udělat
- Ukončit Certificate Pinning, pokud se používá
- Aktualizovat používané certifikáty
- Aktualizovat systémy
Co je to cross-signing?
Certifikační autority často spravují více kořenových certifikátů a obecně platí, že čím starší ROOT, tím širší je jeho distribuce na starších platformách. Aby toho mohly využít, generují cross-certifikáty, aby zajistily co nejširší podporu svých certifikátů. Cross-certifikát znamená, že jeden kořenový certifikát podepisuje druhý kořenový certifikát.
Více informací: Sectigo KB - What is Cross-Signing?
Kde hledat další informace
- Google Chrome: Google Chrome Root Program Policy
- Microsoft: Microsoft Trusted Root Program
- Mozilla: Mozilla Root Store Policy
- CA/B Forum: cabforum.org
Instalace nových Root certifikátů v systémech Windows (IIS)
Nové ROOT certifikáty jsou pravidelně přidávány do Windows Update, ale pokud chcete mít jistotu, že jsou nainstalovány, můžete je stáhnout a nainstalovat ručně. Někdy však může nastat problém u certifikátů webových stránek, které mají více důvěryhodných certifikačních cest ke kořenovým certifikačním autoritám. Certifikát webu se potom jeví návštěvníkům se staršími systémy jako nedůvěryhoný, což způsobuje chybějící cross-certifikát, který IIS správně nepublikuje.
Řešení pro administrátory IIS je zde: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.
Kam dál?
Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!
