Nya ROOT‑certifikat
CA:er uppdaterar sina root‑certifikat för att följa nya policyer från bl.a. Mozilla och Google. Moderna system påverkas normalt inte, men äldre system (exempelvis äldre Android‑versioner) kan behöva cross‑certifikat i serverns kedja för fortsatt förtroende.
Innehållsförteckning
- CA DigiCert (Thawte, GeoTrust och RapidSSL)
- CA Certum
- CA Sectigo (PositiveSSL)
- Vanliga frågor
- Installation av cross-certifikat på IIS
CA DigiCert (Thawte, GeoTrust, RapidSSL)
Certification Authority DigiCert började migrera sina rotcertifikat av andra generationen (G2) redan 2023. Information om förändringarna publiceras på sidan DigiCert root and intermediate CA certificate updates 2023.
CA Certum
CA Certum introducerade nya rotcertifikat i enlighet med Mozilla och Googles policyer den 15 september 2025. Det är viktigt att veta att certifikat med RSA eller elliptiska kurvor (ECC) särskiljs. Mer information publiceras av CA Certum på sidan Certum implements new Root CAs
CA Sectigo
CA Sectigo påbörjade migreringen av offentliga rotCA:er i april (EV), maj (OV) och juni (DV-certifikat, PositiveSSL-certifikat) 2025. Mer information publiceras på sidan Sectigo KB - Public Root CAs Migration
PositiveSSL-certifikat
För att dessa populära SSL-certifikat ska vara betrodda även i äldre versioner av OS och webbläsare, är det nödvändigt att lägga till USERTrust cross-certifikat till rotcertifikaten. Om du inte har den kompletta CA Bundle-filen kan du ladda ner den här.
Intermediära certifikat i filen cabundle-positivessl.txt (ladda ner):
---
CN: Sectigo Public Server Authentication CA DV R36
Giltig till: 21 mars 2036
---
CN: Sectigo Public Server Authentication Root R46
Giltig till: 18 januari 2038
---
CN: USERTrust RSA Certification Authority
Giltig till: 18 januari 2038
---
Vanliga frågor
Varför är dessa förändringar nödvändiga?
Dessa förändringar är avgörande för att säkerställa säkerheten och pålitligheten hos SSL/TLS-certifikat i enlighet med aktuella säkerhetsstandarder och krav. Äldre rotcertifikat kan ha svagare säkerhet eller kanske inte uppfyller nya krav, vilket kan leda till kompatibilitets- och förtroendeproblem med certifikaten.
Vad rekommenderas
- Undvik certificate pinning
- Håll certifikat och system uppdaterade
- Vid behov installera cross‑certifikat eller uppdatera serverns CABundle
Vad är cross-signing?
Certifieringsmyndigheter hanterar ofta flera rotcertifikat och i allmänhet, ju äldre ROT, desto bredare är dess distribution på äldre plattformar. För att dra nytta av detta genererar de cross-certifikat för att säkerställa det bredaste möjliga stödet för sina certifikat. Ett cross-certifikat innebär att ett rotcertifikat signerar ett annat rotcertifikat.
Mer information: Sectigo KB - What is Cross-Signing?
Var hittar jag mer information
- Google Chrome: Google Chrome Root Program Policy
- Microsoft: Microsoft Trusted Root Program
- Mozilla: Mozilla Root Store Policy
- CA/B Forum: cabforum.org
Installation av nya Root-certifikat i Windows-system (IIS)
Nya ROOT-certifikat läggs regelbundet till Windows Update, men om du vill vara säker på att de är installerade kan du ladda ner och installera dem manuellt. Ibland kan det dock uppstå ett problem med webbplatscertifikat som har flera betrodda certifieringsvägar till rotcertifikatmyndigheter. Webbplatsens certifikat verkar då otillförlitliga för besökare med äldre system, vilket orsakas av ett saknat cross-certifikat som IIS inte publicerar korrekt.
Lösningen för IIS-administratörer finns här: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.
Vad vill du göra härnäst?
Tillbaka till Hjälp
Hittat ett fel eller förstår du inte något? Skriv till oss!
