Tavaszi változások a root/köztes tanúsítványokban

2026. ápr. 8. | Jindřich Zechmeister

2026 áprilisában és májusában a Mozilla és a DigiCert ökoszisztémán belül bizonyos gyökér- és közbenső tanúsítványok hitelességét visszavonják. Ez a cikk összefoglalja a változások okait és gyakorlati következményeit.

Aktualitások

Az elkövetkező két hónapban kettős bizalmatlanságra számíthatunk néhány gyökér és köztes tanúsítvánnyal (ICA) kapcsolatban, amelyeket a Mozilla Root és a Chrome Root programokkal való kompatibilitási okok miatt vonnak vissza. Azonban nem kell aggódnia, ez ügyfeleink számára nem jelent komplikációt.

Mozilla bizalmatlanság G1 gyökértanúsítványokkal szemben

2026. április 15-től a Mozilla több régebbi G1 gyökértanúsítványban nem bízik. Ennek oka nem a tanúsítványok kompromittálódása, hanem az a tény, hogy ezek a G1 gyökértanúsítványok (első generáció) többcélúak voltak. Nemcsak WebPKI TLS tanúsítványok, hanem más termékek, például document signing tanúsítványok kiadására is használták őket. A Mozilla és a Google azt szeretné, ha a WebPKI és a böngészők külön ICA tanúsítványhierarchiákat használnának, és nem kevernék a különböző terméktípusokat.

Konkrétan az alábbi gyökértanúsítványokról van szó:

  • DigiCert Assured ID Root CA
  • DigiCert Global Root CA
  • DigiCert High Assurance EV Root CA

Ezek a gyökértanúsítványok 2026. április 15-től nem lesznek megbízhatóak a Mozilla termékekben, és a DigiCert már elővigyázatosságból nem használja őket. Az új tanúsítványok már nem ezeket a gyökértanúsítványokat használják, és a meglévő tanúsítványok az érvényességük végéig érvényesek maradnak.

Mit jelent ez az ügyfeleink számára?

A legtöbb ügyfél számára ez a probléma nem jelent majd gondot, mivel a tanúsítványaikat újabb gyökértanúsítvánnyal (G2 vagy G3) adják ki. A gyökércsere és az újrakiadás szükségessége csak egy kisebb csoportot érintett, akik még mindig a fent említett gyökértanúsítványokat használták. Őket egyénileg értesítettük, és segítettünk nekik az újrakibocsátásban.

Május hónap visszavonások - G3 és G5 ICA tanúsítványok

2026. május 15-én a DigiCert visszavon néhány G2 és G3 köztes tanúsítványt, azonban az ezekből kiadott tanúsítványok nem lesznek visszavonva. Azoknak a megbízhatósága érdekében újakkal kell kicserélni a közteseket. Az akció célja, hogy a közteseket különítsenek el kizárólag TLS tanúsítványok kiadására.

ICA-k visszavonása május 15-től

ICA tanúsítványok, melyek TLS tanúsítványok kiadására használatosak:

  • DigiCert Global CA G2
  • DigiCert G2 SMIME RSA4096 SHA384 2024 CA1

ICA tanúsítványok, melyek Code Signing célokra használatosak:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
  • DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1

Két keresztbe aláírt G5 gyökér is vissza lesz vonva, amelyeket azonban általában nem használtak:

  • G3 Cross Signed DigiCert TLS ECC P384 Root G5
  • G3 Cross Signed DigiCert CS ECC P384 Root G5

Mit jelent ez az ügyfeleink számára?

Ezeknek a 2026. május 15-i változásoknak esetében egyszerűen kijelenthetjük, hogy a hatás az ügyfeleinkre abszolút nulla, és nincs szükség új kiadásra.

Ajánlásaink ügyfeleknek és fejlesztőknek

Hosszú távon javasoljuk, hogy ne használjanak úgynevezett certificate pinning-t alkalmazásoknál és más tanúsítványokat használó projekteknél. A tanúsítvány megbízhatóságát annak gyökértanúsítványa alapján és a tanúsítványlánc későbbi aláírásai alapján kell ellenőrizni, bármilyen "kemény" CA ellenőrzés a jövőben nagyon kockázatos. Olyan mechanizmust vihetnek be az alkalmazásokba, amely később megnehezítheti az életüket, mert az ICA idővel biztosan változni fog.

A közelgő változások erre is példa, és a jövőben minden CA gyakrabban szeretné forgatni az ICA tanúsítványait, és külön hierarchiákat szeretne létrehozni különböző felhasználási célokra. Ráadásul a következő években változni fog a használt algoritmus a PQC érkezésével, még előtte a hibrid tanúsítványokkal, így ezek az irányú változások elkerülhetetlenek. Használjon más ellenőrzési mechanizmusokat a "CA pinning" helyett, amelyeket nem zavarna egy esetleges közbenső tanúsítványváltás.

Források és további információk

Előző cikk