Kötelező bejegyzés a Certificate Transparency-ben minden új TLS tanúsítványhoz.

2026. jún. 5. | Pataki Tamás

2026 június 1-től a DigiCert minden újonnan kiadott nyilvános TLS tanúsítványt, beleértve azok reissue-jait is, rögzíteni fogja a Certificate Transparency naplókban. Az új intézkedés a DigiCert CA által kiadott összes tanúsítványra vonatkozik, függetlenül a validáció típusától (DV, OV, EV, QWAC, PSD2) vagy a márkától (DigiCert®, GeoTrust®, Thawte®, RapidSSL®). A cikkből megtudhatja, mi áll a változás hátterében, és mit jelent ez az Ön számára.

Miért kötelező az új bejegyzés?

Ebben az esetben is a Google és böngészője, a Chrome áll az új intézkedés mögött. A Google azt követeli meg, hogy 2026. június 15-ig minden tanúsító hatóság kezdje meg az összes TLS tanúsítvány rögzítését legalább egy Certificate Transparency naplóban. Ennek célja természetesen a tanúsítványok átláthatóságának növelése és az internetbiztonság erősítése.

Emlékeztetőül említsük meg, hogy a CT protokollok nyilvánosan auditálható nyilvántartásokat hoznak létre a tanúsító hatóságok által kiadott tanúsítványokról, így lehetővé teszik a doméntulajdonosok és a böngészők számára, hogy hatékonyabban észleljék a visszaélésre használt vagy hamisított tanúsítványokat, és ezáltal megakadályozzák a man-in-the-middle támadásokat. Ha visszatekintünk a múltra, már több mint tíz éve annak, hogy a Google előírta a naplózást a kiterjesztett validációs (EV) tanúsítványok esetében. Ez a követelmény fokozatosan kiterjedt a szervezet validációs (OV) és a domain validációs (DV) tanúsítványokra is.

Eddig a CT protokollban történő naplózás kizárólag akkor volt szükséges, ha a tanúsítványt nyilvános kliensben kívánták használni. A CT napló nélküli tanúsítványok a böngészőkben ugyan működtek, de megbízhatatlansági figyelmeztetés jelent meg mellettük. 2026. június 1-től azonban minden nyilvános TLS tanúsítványnak rendelkeznie kell CT bejegyzéssel, függetlenül a felhasználás céljától.

Hogyan érinti ez a változás Önt?

A DigiCert minden általa kiadott nyilvános TLS tanúsítványt rögzít a CT naplókban Ön helyett, ezért Önnek nincs szüksége semmilyen teendőre. A változás továbbá nem érinti azokat a már kiadott TLS tanúsítványokat, amelyeket 2026. június 1-ig a CT naplókon kívül tartottak.

Az újonnan kötelezővé váló CT naplózás csak abban az esetben érinti Önt, ha belső tanúsítványokkal dolgozik, amelyeket privát felhasználásra, webböngészőkön kívüli környezetben használ, és ezeket az újonnan kiadott tanúsítványokat — tehát a 2026. június 1-jétől kiállított tanúsítványokat — 2026. június 1. után is szeretné távol tartani a nyilvános CT naplóktól. A megoldást egy privát PKI infrastruktúra jelentheti, amely nem igényli a böngészők bizalmát, ezért a Chrome új követelménye sem vonatkozik rá. Fontos azonban szem előtt tartani, hogy a PKI csak olyan tanúsítványok esetében alkalmas megoldás, amelyeknek soha nem lesz szükségük külső felhasználók, partnerek vagy nyilvános internetes kliensek bizalmára.

Forrás: