Jarní změny v root/intermediate certifikátech
8. 4. 2026 | Jindřich Zechmeister
V průběhu dubna a května 2026 dojde k odebrání důvěry vybraným root a intermediate certifikátům v rámci Mozilla a DigiCert ekosystému. Tento článek shrnuje důvody i praktické dopady těchto změn.
V následujících dvou měsících nás čeká dvojí distrust několika kořenových a intermediate certifikátů (ICA), které se ruší kvůli kompatibilitě s programy Mozilla Root a Chrome Root. Nemusíte se však bát, pro naše zákazníky to nepředstavuje žádnou komplikaci.
Mozilla distrust G1 Root certifikátů
Mozilla přestane od 15. 4. 2026 důvěřovat několika starším G1 root certifikátům. Důvodem není jejich kompromitace, ale fakt, že tyto kořenové certifikáty G1 (první generace) byly víceúčelové. Byly používány pro vydávání nejen TLS certifikátů pro WebPKI, ale též jiných produktů jako Document Signing. Mozilla i Google chtějí, aby se pro WebPKI a prohlížeče používaly samostatné hierarchie ICA certifikátů a nekombinovaly se různé typy produktů.
Konkrétně se jedná o tyto root certifikáty:
- DigiCert Assured ID Root CA
- DigiCert Global Root CA
- DigiCert High Assurance EV Root CA
Tyto root certifikáty přestanou být v Mozilla produktech důvěryhodné od 15.4.2026 a DigiCert je už z preventivních důvodů nepoužívá. Nově vydané certifikáty už tyto root certifikáty nepoužívají a existující certifikáty budou platit až do své expirace.
Co to znamená pro naše zákazníky?
Většina zákazníků se s tímto problémem ani nesetká, protože své certifikáty vydává s novějším root certifikátem (G2 nebo G3). Nutnost reissue a výměny rootu se týkala pouze malé skupiny uživatelů, kteří ještě používali výše zmíněné rooty. Ty jsme individuálně upozornili a s reissue jim pomohli.
Květnové revokace - G3 a G5 ICA certifikáty
Dne 15.5.2026 revokuje DigiCert několik G2 a G3 intermediate certifikátů, ale nikoliv certifikáty z nich vydané. Ty by se měly pro zachování důvěryhodnosti přegenerovat s novými intermediaty. Cílem akce je vyčlenit samostatné intermediaty pouze pro vydávání TLS certifikátů.
ICA revokované k 15. květnu
ICA certifikáty určené pro vydávání TLS certifikátů:
- DigiCert Global CA G2
- DigiCert G2 SMIME RSA4096 SHA384 2024 CA1
ICA certifikáty určené pro Code Signing:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
- DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1
Revokovány budou také dva cross-signed G5 rooty, které se ale běžně nepoužívaly:
- G3 Cross Signed DigiCert TLS ECC P384 Root G5
- G3 Cross Signed DigiCert CS ECC P384 Root G5
Co to znamená pro naše zákazníky?
V případě těchto změn prováděných k 15.5. můžeme rovnou konstatovat, že dopad na naše zákazníky je naprosto nulový a není třeba dělat žádné reissue.
Naše doporučení zákazníkům a vývojářům
Dlouhodobě doporučujeme nepoužívat tzv. certificate pinning pro aplikace a jiné projekty využívající certifikáty. Důvěryhodnost certifikátu se má ověřovat vůči jeho root certifikátu a následnými podpisy v certifikačním řetězci (chainu), jakákoliv "tvrdá" kontrola vydávajících CA je do budoucna velice riziková. Zanesete si do aplikací mechanismus, který vám později zkomplikuje život, protože ICA se jednou určitě změní.
Nastávající změny jsou toho příkladem a do budoucna chtějí všechny CA ještě častěji rotovat své ICA certifikáty a udělat si samostatné hierarchie pro různé účely použití. Navíc se v příštích letech bude měnit používaný algoritmus s příchodem PQC, předtím ještě hybridních certifikátů, takže změny v tomto směru jsou nevyhnutelné. Používejte místo "CA pinningu" jiné mechanismy kontroly, které nebude rozbíjet případná změna intermediate certifikátu.
Zdroje a více informací
- DigiCert root and intermediate CA certificate updates 2023
- DigiCert transitioning multipurpose G2 and G3 roots to dedicated TLS root hierarchies
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
