Jarné zmeny v root/intermediate certifikátoch

6.4.2026 | Jindřich Zechmeister

V priebehu apríla a mája 2026 dôjde k odobratiu dôvery vybraným root a intermediate certifikátom v rámci Mozilla a DigiCert ekosystému. Tento článok zhŕňa dôvody aj praktické dopady týchto zmien.

V nasledujúcich dvoch mesiacoch nás čaká dvojitá revokacia niekoľkých koreňových a intermediate certifikátov (ICA), ktoré sa rušia kvôli kompatibilite s programami Mozilla Root a Chrome Root. Nemusíte sa však obávať, pre našich zákazníkov to nepredstavuje žiadnu komplikáciu.

Nedôvera certifikátov Mozilla G1 Root

Mozilla prestane od 15. 4. 2026 dôverovať niekoľkým starším G1 root certifikátom. Dôvodom nie je ich kompromitácia, ale fakt, že tieto koreňové certifikáty G1 (prvá generácia) boli viacúčelové. Boli používané na vydávanie nielen TLS certifikátov pre WebPKI, ale aj iných produktov ako Document Signing. Mozilla aj Google chcú, aby sa pre WebPKI a prehliadače používali samostatné hierarchie ICA certifikátov a nekombinovali sa rôzne typy produktov.

Konkrétne sa jedná o tieto root certifikáty:

  • DigiCert Assured ID Root CA
  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA

Tieto root certifikáty prestanú byť v Mozilla produktoch dôveryhodné od 15.4.2026 a DigiCert ich už z preventívnych dôvodov nepoužíva. Novo vydané certifikáty už tieto root certifikáty nepoužívajú a existujúce certifikáty budú platiť až do svojej expirácia.

Čo to znamená pre našich zákazníkov?

Väčšina zákazníkov sa s týmto problémom ani nestretne, pretože svoje certifikáty vydáva s novším root certifikátom (G2 alebo G3). Nutnosť reissue a výmeny rootu sa týkala iba malej skupiny používateľov, ktorí ešte používali vyššie zmienené rooty. Tých sme individuálne upozornili a s reissue im pomohli.

Májové rušenia - G3 a G5 ICA certifikáty

Dňa 15.5.2026 ruší DigiCert niekoľko G2 a G3 intermediate certifikátov, ale nie certifikáty z nich vydané. Tie by sa mali pre zachovanie dôveryhodnosti pregenerovať s novými intermediátmi. Cieľom akcie je vyčleniť samostatné intermediáty iba na vydávanie TLS certifikátov.

ICA rušené k 15. máju

ICA certifikáty určené na vydávanie TLS certifikátov:

  • DigiCert Global CA G2
  • DigiCert G2 SMIME RSA4096 SHA384 2024 CA1

ICA certifikáty určené pre Code Signing:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
  • DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1

Rušené budú tiež dva cross-signed G5 rooty, ktoré sa však bežne nepoužívali:

  • G3 Cross Signed DigiCert TLS ECC P384 Root G5
  • G3 Cross Signed DigiCert CS ECC P384 Root G5

Čo to znamená pre našich zákazníkov?

V prípade týchto zmien narobených k 15.5. môžeme rovno konštatovať, že dopad na našich zákazníkov je absolútne nulový a nie je potrebné robiť žiadne reissue.

Naše odporúčania zákazníkom a vývojárom

Na dlhodobú dobu odporúčame nepoužívať tzv. certificate pinning pre aplikácie a iné projekty využívajúce certifikáty. Dôveryhodnosť certifikátu sa má overovať voči jeho root certifikátu a následnými podpismi v certifikačnom reťazci (chain), akákoľvek "tvrdá" kontrola vydávajúcich CA je do budúcna veľmi riziková. Zanesiete si do aplikácií mechanizmus, ktorý vám neskôr skomplikuje život, pretože ICA sa raz určite zmení.

Nastávajúce zmeny sú toho príkladom a do budúcna chcú všetky CA ešte častejšie rotovať svoje ICA certifikáty a vytvoriť samostatné hierarchie pre rôzne účely použitia. Navyše sa v najbližších rokoch bude meniť používaný algoritmus s príchodom PQC, predtým ešte hybridných certifikátov, takže zmeny v tomto smere sú nevyhnutné. Používajte namiesto "CA pinningu" iné mechanizmy kontroly, ktoré nebudú narušené prípadnou zmenou intermediate certifikátu.

Zdroje a viac informácií

Predch. článok
Ďalší článok