Povinný záznam v Certificate Transparency pre všetky nové TLS certifikáty.
5.6.2026 | Jindřich Zechmeister
Záznam v Certificate Transparency sa stáva povinným pre všetky verejné TLS certifikáty vydané od 1.6.2026, bez ohľadu na účel ich použitia.
Prečo je záznam novo povinným?
Aj v tomto prípade môžeme za novým opatrením hľadať spoločnosť Google a jej prehliadač Chrome. Požaduje, aby do 15. júna 2026 začali všetky certifikačné autority zaznamenávať všetky TLS certifikáty do aspoň jedného protokolu Certificate Transparency. Samozrejme s cieľom vyššej transparentnosti certifikátov a posilnením internetovej bezpečnosti.
Pre pripomenutie zmienime, že protokoly CT vytvárajú verejne auditovateľné záznamy o vydávaní certifikátov všetkými certifikačnými autoritami, čím vlastníkom domén a prehliadačom efektívnejšie umožňujú detekovať zneužité alebo podvrhnuté certifikáty a tým aj zabrániť man-in-the-middle útokom. Pozrime sa do histórie, je to už viac ako desať rokov, keď Google začal vyžadovať logovanie pre certifikáty s rozšíreným overením (EV). Postupne sa tento požiadavok rozšíril aj na certifikáty s overením organizácie (OV) a s overením domény (DV).
Doteraz bol záznam v CT protokole vyžadovaný iba vtedy, ak bol certifikát určený na použitie vo verejnom klientovi. Certifikáty bez CT logu v prehliadačoch síce fungovali, ale zobrazovali varovanie o nedôveryhodnosti. Od 1. júna 2026 však musí CT záznamom disponovať všetky verejné TLS certifikáty bez ohľadu na účel použitia.
Ako vás zmena ovplyvní?
DigiCert zaznamenáva všetky ním vydané verejné TLS certifikáty do CT protokolov za vás a z vašej strany teda nie je nutná žiadna akcia. Zmena rovnako neovplyvňuje už vydané TLS certifikáty, ktoré boli do 1. 6. 2026 udržiavané mimo CT protokoly.
Nový vynútený CT záznam vás ovplyvní iba v prípade, že pracujete s internými certifikátmi určenými pre súkromné použitie mimo prostredia webových prehliadačov a že tieto novo vydané certifikáty (teda s dátumom vystavenia od 1.6.2026) potrebujete udržať mimo verejné CT záznamy aj po 1. júni 2026. Riešením je súkromná PKI infraštruktúra, ktorá nevyžaduje dôveryhodnosť prehliadačov a na ktorú sa preto nový požiadavok Chrome nevzťahuje. Majte ale na pamäti, že PKI je vhodná iba pre certifikáty, ktoré nikdy nebudú potrebovať dôveru externých užívateľov, partnerov alebo verejných internetových klientov.
