Novi ROOT sertifikati

Autoriteti za sertifikaciju odgovaraju na nove zahteve i politike Mozille i Google-a i uvode nove Root sertifikate kako bi ispunili ove norme i obezbedili da njihovi sertifikati budu pouzdani u pregledačima. Ove promene takođe zadovoljavaju sve veće zahteve za bezbednost i prate industrijske standarde i pravila definisana od strane CA/Browser Foruma za Root sertifikate.

Ako koristite ažurirane operativne sisteme i pregledače, i vaši klijenti/posetioci sajta takođe, verovatno nećete primetiti nikakve promene.
Za starije ili neažurirane sisteme (na primer, starije verzije Android-a < verzija 14), potrebno je instalirati takozvane cross-signed sertifikate na server da bi se obezbedio ispravan rad SSL sertifikata, uključujući i S/MIME sertifikate.
Cross-signed sertifikat se postavlja na kraj hijerarhije ROOT sertifikata tokom instalacije, u tzv. lanac sertifikata (intermedijarni sertifikati), koji se instalira na server zajedno sa izdatim sertifikatom.

Sadržaj

CA DigiCert (Thawte, GeoTrust i RapidSSL)
CA Certum
CA Sectigo (PositiveSSL)
FAQ
Instalacija cross-signed sertifikata na IIS

Sakrij detalje članka

CA DigiCert (Thawte, GeoTrust, RapidSSL)

CA DigiCert je već 2023. godine započeo migraciju svojih Root sertifikata druge generacije (G2). Informacije o promenama objavljene su na stranici DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum je uveo nove Root sertifikate u skladu sa politikama Mozille i Google-a 15. septembra 2025. Važno je znati da se sertifikati sa RSA ili eliptičkim krivama (ECC) razlikuju. Više informacija objavljeno je od strane CA Certum na stranici Certum implements new Root CAs

CA Sectigo

CA Sectigo je započeo migraciju Public Root CAs 2025. godine, i to u aprilu (EV), maju (OV) i junu (DV sertifikati, PositiveSSL sertifikati). Više informacija objavljeno je na stranici Sectigo KB - Public Root CAs Migration

PositiveSSL sertifikati

Kako bi ovi popularni SSL sertifikati bili pouzdani i u starijim verzijama operativnih sistema i pregledača, potrebno je dodati cross-signed sertifikat USERTrust među Root sertifikate. Ako nemate kompletan CA Bundle fajl, možete ga preuzeti ovde.

Intermedijarni sertifikati u fajlu cabundle-positivessl.txt (preuzmi):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Važi do: 21. mart 2036.
            ---
            CN: Sectigo Public Server Authentication Root R46
            Važi do: 18. januar 2038.
            ---
            CN: USERTrust RSA Certification Authority
            Važi do: 18. januar 2038.
            ---

FAQ

Zašto su ove promene potrebne?

Ove promene su neophodne da bi se obezbedila bezbednost i pouzdanost SSL/TLS sertifikata u skladu sa trenutnim standardima i bezbednosnim zahtevima. Stariji Root sertifikati mogu imati slabiju bezbednost ili ne ispunjavati nove zahteve, što može dovesti do problema sa kompatibilnošću i pouzdanošću sertifikata.

Šta se preporučuje da uradite

Ukinite Certificate Pinning, ako se koristi
Ažurirajte sertifikate koje koristite
Ažurirajte vaše sisteme

Šta je cross-signing?

CA obično upravljaju sa više Root sertifikata i, uopšteno, što je ROOT stariji, to je šire distribuiran na starijim platformama. Da bi iskoristili to, oni generišu cross-signed sertifikate kako bi obezbedili što širu podršku za svoje sertifikate. Cross-signed sertifikat znači da jedan Root sertifikat potpisuje drugi Root sertifikat.
Više informacija: Sectigo KB - What is Cross-Signing?

Gde pronaći više informacija

Google Chrome: Google Chrome Root Program Policy
Microsoft: Microsoft Trusted Root Program
Mozilla: Mozilla Root Store Policy
CA/B Forum: cabforum.org

Instalacija novih Root sertifikata na Windows sisteme (IIS)

Novi ROOT sertifikati se redovno dodaju putem Windows Update-a, ali ako želite da budete sigurni da su instalirani, možete ih preuzeti i instalirati ručno. Međutim, ponekad može doći do problema sa sertifikatima sajtova koji imaju više pouzdanih puteva sertifikacije ka Root CA. Tada se sertifikat sajta prikazuje kao nepouzdan za posetioce sa starijim sistemima, što je uzrokovano nedostajućim cross-signed sertifikatom koji IIS ne objavljuje ispravno.
Rešenje za IIS administratore je ovde: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

I šta sada?

Nazad na Pomoć
Pronašli ste grešku ili vam nešto nije jasno? Pišite nam!

SSLmentor

new roots