Tavaszi változások a root/közbenső tanúsítványokban
2026. ápr. 8. | Jindřich Zechmeister
2026 áprilisában és májusában a Mozilla és a DigiCert ökoszisztémán belül egyes gyökér- és köztes tanúsítványok elveszítik megbízhatóságukat. Ez a cikk összefoglalja a változások okait és azok gyakorlati hatásait.
Az elkövetkező két hónapban két hullámban történő bizalom-visszavonás várható néhány gyökér- és köztes tanúsítvány (ICA) esetében, amelyek a Mozilla Root és a Chrome Root programokkal való kompatibilitás miatt kerülnek kivezetésre. Ugyanakkor nincs ok aggodalomra: ez ügyfeleink számára nem jelent semmilyen komplikációt.
Mozilla bizalom-visszavonás a G1 gyökértanúsítványok esetében
2026. április 15-től a Mozilla több régebbi G1 gyökértanúsítványt nem tekint megbízhatónak. Ennek oka nem a tanúsítványok kompromittálódása, hanem az, hogy ezek az első generációs (G1) gyökértanúsítványok többcélúak voltak. Nemcsak WebPKI TLS tanúsítványok, hanem más termékek, például dokumentum-aláíró tanúsítványok kibocsátására is használták őket. A Mozilla és a Google célja, hogy a WebPKI és a böngészők számára külön, dedikált ICA-hierarchiák legyenek használva, és ne keveredjenek a különböző felhasználási célok.
Konkrétan az alábbi gyökértanúsítványokról van szó:
- DigiCert Assured ID Root CA
- DigiCert Global Root CA
- DigiCert High Assurance EV Root CA
Ezek a gyökértanúsítványok 2026. április 15-től kikerülnek a Mozilla termékek megbízható tanúsítványai közül, és a DigiCert már elővigyázatosságból nem használja őket. Az újonnan kibocsátott tanúsítványok már nem ezekre épülnek, a meglévő tanúsítványok pedig a lejáratukig érvényesek maradnak.
Mit jelent ez az ügyfeleink számára?
A legtöbb ügyfél ezt a változást észre sem fogja venni, mivel tanúsítványaik már újabb gyökértanúsítványokra (G2 vagy G3) épülnek. A gyökértanúsítvány cseréje és az újrakiadás csak egy szűk felhasználói kört érintett, akik még a fent említett gyökereket használták. Őket egyénileg értesítettük, és segítettünk az újrakiadásban.
Május 15-i visszavonások – G2 és G3 ICA tanúsítványok
2026. május 15-én a DigiCert több G2 és G3 köztes (intermediate) tanúsítványt visszavon, azonban az ezekkel kiadott végfelhasználói tanúsítványok nem kerülnek visszavonásra. A megbízhatóság fenntartása érdekében javasolt új intermediate tanúsítványokra váltani. A változás célja, hogy dedikált intermediatok szolgáljanak kizárólag TLS tanúsítványok kibocsátására.
2026. május 15-én visszavonásra kerülő ICA tanúsítványok
ICA tanúsítványok TLS kibocsátáshoz:
- DigiCert Global CA G2
- DigiCert G2 SMIME RSA4096 SHA384 2024 CA1
ICA tanúsítványok kódaláíráshoz (Code Signing):
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
- DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1
Visszavonásra kerül továbbá két cross-signed G5 gyökértanúsítvány is, amelyeket a gyakorlatban nem használtak:
- G3 Cross Signed DigiCert TLS ECC P384 Root G5
- G3 Cross Signed DigiCert CS ECC P384 Root G5
Mit jelent ez az ügyfeleink számára?
Ezeknek a 2026. május 15-i változásoknak az ügyfeleinkre gyakorolt hatása gyakorlatilag nulla, és nincs szükség újrakiadásra.
Ajánlásaink ügyfeleknek és fejlesztőknek
Hosszú távon javasoljuk, hogy ne alkalmazzanak úgynevezett tanúsítvány-rögzítést (certificate pinning) alkalmazásokban és más, tanúsítványokat használó rendszerekben. A tanúsítvány megbízhatóságát annak gyökértanúsítványa és a tanúsítványláncban szereplő aláírások alapján kell ellenőrizni; a merev, CA-alapú ellenőrzési mechanizmusok hosszú távon kockázatosak. Olyan megoldásokat építhetnek be, amelyek később megnehezítik az üzemeltetést, mivel az intermediate tanúsítványok idővel biztosan változni fognak.
A közelgő változások jól mutatják ezt a tendenciát: a hitelesítésszolgáltatók (CA-k) a jövőben egyre gyakrabban rotálják majd intermediate tanúsítványaikat, és külön hierarchiákat alakítanak ki az egyes felhasználási célokra. Emellett a következő években a használt algoritmusok is változni fognak a PQC megjelenésével, előtte pedig hibrid tanúsítványok bevezetésével, így az ilyen jellegű változások elkerülhetetlenek. A „CA pinning” helyett olyan ellenőrzési mechanizmusokat alkalmazzanak, amelyeket nem befolyásol egy esetleges intermediate tanúsítványcsere.
Források és további információk
- DigiCert root és intermediate CA tanúsítvány frissítések (2023)
- DigiCert többcélú G2 és G3 gyökerek átállása dedikált TLS hierarchiákra
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu
