Novi ROOT certifikati

Certifikacijska tijela odgovaraju na nove zahtjeve i politike Mozille i Googlea te uvode nove Root certifikate kako bi ispunila te zahtjeve i osigurala da njihovi certifikati budu pouzdani u preglednicima. Ove promjene također zadovoljavaju sve veće sigurnosne zahtjeve i slijede industrijske standarde i pravila postavljena od strane CA/Browser Foruma za Root certifikate.

Ako koristite ažurirane operativne sustave i preglednike, a vaši klijenti/posjetitelji weba također, najvjerojatnije nećete primijetiti nikakve promjene.
Za starije ili neažurirane sustave (npr. starije verzije Androida < verzija 14), potrebno je instalirati tzv. cross-certifikate na poslužitelj kako bi se osigurao neprekinut i ispravan rad SSL certifikata, uključujući S/MIME certifikate.
Cross-certifikat se postavlja na kraj hijerarhije ROOT certifikata tijekom instalacije, u tzv. lanac certifikata (intermedijarni certifikati), koji se instalira na poslužitelj zajedno s izdanim certifikatom.

Sadržaj

CA DigiCert (Thawte, GeoTrust i RapidSSL)
CA Certum
CA Sectigo (PositiveSSL)
FAQ
Instalacija cross-certifikata na IIS

Sakrij detalje članka

CA DigiCert (Thawte, GeoTrust, RapidSSL)

CA DigiCert započeo je migraciju svojih Root certifikata druge generacije (G2) još 2023. Informacije o promjenama objavljene su na stranici DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum uveo je nove Root certifikate u skladu s politikama Mozille i Googlea 15. rujna 2025. Važno je znati da se certifikati s RSA ili eliptičkim krivuljama (ECC) razlikuju. Više informacija objavio je CA Certum na stranici Certum implements new Root CAs

CA Sectigo

CA Sectigo započeo je migraciju Public Root CAs 2025., konkretno u travnju (EV), svibnju (OV) i lipnju (DV certifikati, PositiveSSL certifikati). Više informacija objavljeno je na stranici Sectigo KB - Public Root CAs Migration

PositiveSSL certifikati

Kako bi ovi popularni SSL certifikati bili pouzdani i u starijim verzijama OS-a i preglednika, potrebno je dodati cross-certifikat USERTrust među Root certifikate. Ako nemate kompletan CA Bundle file, možete ga preuzeti ovdje.

Intermedijarni certifikati u datoteci cabundle-positivessl.txt (preuzmi):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Vrijedi do: 21. ožujka 2036.
            ---
            CN: Sectigo Public Server Authentication Root R46
            Vrijedi do: 18. siječnja 2038.
            ---
            CN: USERTrust RSA Certification Authority
            Vrijedi do: 18. siječnja 2038.
            ---

FAQ

Zašto su ove promjene potrebne?

Ove promjene nužne su kako bi se osigurala sigurnost i pouzdanost SSL/TLS certifikata u skladu s aktualnim sigurnosnim standardima i zahtjevima. Stariji Root certifikati mogu imati slabiju sigurnost ili ne ispunjavati nove zahtjeve, što može dovesti do problema s kompatibilnošću i pouzdanošću certifikata.

Što se preporučuje učiniti

Ukinuti Certificate Pinning ako se koristi
Ažurirati korištene certifikate
Ažurirati sustave

Što je cross-signing?

CA obično upravljaju s više Root certifikata i općenito, što je ROOT stariji, to je šire distribuiran na starijim platformama. Kako bi to iskoristili, generiraju cross-certifikate kako bi osigurali što širu podršku svojih certifikata. Cross-certifikat znači da jedan Root certifikat potpisuje drugi Root certifikat.
Više informacija: Sectigo KB - What is Cross-Signing?

Gdje pronaći više informacija

Google Chrome: Google Chrome Root Program Policy
Microsoft: Microsoft Trusted Root Program
Mozilla: Mozilla Root Store Policy
CA/B Forum: cabforum.org

Instalacija novih Root certifikata u Windows sustavima (IIS)

Novi ROOT certifikati redovito se dodaju putem Windows Updatea, ali ako želite biti sigurni da su instalirani, možete ih preuzeti i instalirati ručno. Međutim, ponekad može doći do problema s certifikatima web stranica koje imaju više pouzdanih putova certifikacije do Root CA. Tada se certifikat stranice prikazuje kao nepouzdan posjetiteljima sa starijim sustavima, što je uzrokovano nedostajućim cross-certifikatom koji IIS ne objavljuje ispravno.
Rješenje za IIS administratore nalazi se ovdje: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

Kamo dalje?

Povratak na pomoć
Našli ste grešku ili ne razumete nešto? Pišite nam!

SSLmentor

new roots