2025-08-13

Certum wdraża nowe certyfikaty Root CA

Od 15 września 2025 Certum wdraża nowe Root CA zgodnie z polityką Mozilli i Google.

Jeśli używasz aktualnych systemów operacyjnych i przeglądarek – zmiana prawdopodobnie nie będzie dla Ciebie odczuwalna.

Jeśli korzystasz ze starszych systemów, upewnij się, że zainstalowano nowe Root CA lub crosscertyfikaty. Stare Root CA będą wycofane, co oznacza, że oparte na nich certyfikaty przestaną być zaufane w najnowszych przeglądarkach i systemach.

Dlaczego Certum zmienia Root CA 

Zmiana ta wynika z decyzji Mozilla Firefox i Google Chrome, które wycofują zaufanie do certyfikatów Root CA starszych niż 15 lat (dla certyfikatów TLS/SSL) oraz 18 lat (dla S/MIME). Celem tej polityki jest zwiększenie bezpieczeństwa użytkowników.

Wycofanie zaufania oznacza, że przeglądarki takie jak Firefox i Chrome usuną zaufanie dla wystawców – stare Root CA, mimo że nadal technicznie są ważne, przestaną być zaufane przez nowsze wersje przeglądarek. W efekcie certyfikaty SSL i S/MIME wydane przez Certum CA, Certum Trusted Network CA oraz Certum Trusted Network CA 2 przestaną być uznawane za bezpieczne.

Szczegółowy harmonogram wycofań można znaleźć na stronach:

• https://wiki.mozilla.org/CA/Root_CA_Lifecycles
• https://googlechrome.github.io/chromerootprogram/#413-root-ca-term-limit

Które Root CA są wycofywane?

Certum od 2025 roku rozpoczęło wycofywanie starych Root CA i stopniową migrację na nowe Root CA.

• Certum CA – wycofany
• Certum Trusted Network CA – utrata zaufania nastąpi 2027-04-15
• Certum Trusted Network CA 2 – utrata zaufania nastąpi 2028-04-15

Ważne: certyfikaty oparte na tych Root CA pozostaną zaufane na starszych wersjach przeglądarek i systemów, wydanych przed tą datą i w środowiskach, które nie mają już regularnych aktualizacji bezpieczeństwa.

Jakie są nowe Root CA

Od dnia 15 września 2025, Certum wprowadza nowe Root CA, które zgodnie z polityką Mozilli i Google mają już ustalony termin wycofania:

• Certum Trusted Root CA
  • Będzie zaufany dla certyfikatów SSL do 2032-04-12
  • Będzie zaufany dla certyfikatów S/MIME do 2035-04-12
• Certum EC-384 CA
  • Będzie zaufany dla certyfikatów SSL do 2033-03-22
  • Będzie zaufany dla certyfikatów S/MIME do 2036-03-22

Ważne: Certum Trusted Root CA oraz Certum EC-384 CA są zaufane we wszystkich głównych przeglądarkach i systemach operacyjnych (Windows, macOS, iOS, Android ≥14), ale mogą być niedostępne na Androidzie starszym niż wersja 14, jeśli nie otrzymał on aktualizacji magazynu certyfikatów oraz w starszych, niewspieranych i nieaktualizowanych przez producentów systemach operacyjnych.

Aby umożliwić kompatybilność nowych Root CA ze starszymi środowiskami, które nie mają już regularnych aktualizacji bezpieczeństwa, zastosowano mechanizm tzw. crosscertyfikacji ze starymi Root CA.

Co to oznacza dla użytkowników?

W przypadku problemów z certyfikatami, upewnij się, czy właściwe Root CA i Subordinate CA znajdują się w zaufanych magazynach ich aplikacji i urządzeń.

Dla starszych środowisk, które nie mają już regularnych aktualizacji bezpieczeństwa, sprawdź również obecność crosscertyfikatów ze starymi Root CA.

Po 15 września 2025, czyli dacie przejścia na nowe Root CA, reissue certyfikatu wydanego ze starego Root CA pozwoli na zastąpienie go certyfikatem z nowego Root CA.

Zalecamy unikanie tzw. certificate pinning (czyli „na sztywno” zaprogramowanego zaufania do konkretnego certyfikatu), ponieważ może to uniemożliwić migrację na nowe Root CA.

Pełna nowa hierarchia Root CA i Subordinate CA

Certyfikaty SSL:

• Certum Commercial SSL (DV)
• Certum Trusted SSL (OV)
• Certum Premium EV SSL (EV)

W przypadku starszych systemów może być wymagane doinstalowanie crosscertyfikatów:

• Dla Certum Trusted Root CA: https://repository.certum.pl/ctnca-ctrca.pem
• Dla Certum EC-384 CA: https://repository.certum.pl/ctnca-cec384ca.pem

Certyfikaty S/MIME:

• Certum S/MIME Mailbox
• Certum S/MIME Individual
• Certum S/MIME Sponsor
• Certum S/MIME Organization