Próximas alterações nas raízes TLS e nos perfis de certificados
28 de set. de 2025
Próximas alterações nas raízes TLS e nos perfis de certificados
|
VISÃO GERAL: Esta página contém as próximas alterações e atualizações nas raízes TLS e nos perfis de certificados da GlobalSign. Esta página será revisada regularmente para refletir novas atualizações. Recomendamos que você marque esta página como favorita ou a visite novamente para ver as últimas alterações e desenvolvimentos. Para obter a lista de certificados raiz da GlobalSign, consulte esta página. |
Resumo das alterações
A Mozilla e o Chrome anunciaram alterações que exigem mudanças nos certificados raiz usados pela GlobalSign e nos perfis de certificados TLS para ofertas de certificados TLS de confiança pública. Este artigo descreve a origem desses novos requisitos e nosso cronograma para cumpri-los.
Anúncios
-
Anúncio da Mozilla sobre a remoção de raízes com mais de 15 anos.
-
Política de armazenamento de raízes da Mozilla.
-
Política do Programa Raiz do Chrome.
-
Votação SC-81 do CAB Forum para reduzir o período máximo de validade a partir de março de 2026 para 200 dias.
Cronograma do Chrome e da Mozilla para remover a confiança com base na idade da raiz
Tanto o Chrome quanto a Mozilla anunciaram seus planos de remover as raízes TLS mais antigas da lista de confiança com base nas datas em que as raízes foram criadas.
|
Material de chave criado |
Remoção da raiz para uso TLS |
Raízes GlobalSign aplicáveis |
|---|---|---|
|
Antes de 2006 |
15 de abril de 2025 |
Raiz GlobalSign R1 – A emissão está atualmente desativada |
|
2006-2007 |
15 de abril de 2026 |
|
|
2008-2009 |
15 de abril de 2027 |
GlobalSign Root R3 – devemos interromper a emissão de certificados de 200 dias até 27 de agosto de 2026 para que eles sejam considerados confiáveis pelo Mozilla e pelo Chrome durante toda a sua vida útil. |
|
2010-2011 |
15 de abril de 2028 |
|
|
2012- 14 de abril de 2014 |
15 de abril de 2029 |
GlobalSign Root R5 (ECC) |
|
15 de abril de 2014 - presente |
15 anos a partir da criação |
GlobalSign Root R6 |
Cronograma do Mozilla e do Chrome para a migração para raízes dedicadas TLS
Tanto o Chrome quanto o Mozilla estabeleceram cronogramas para a migração para raízes dedicadas TLS. Atualmente, as raízes utilizadas pela Globalsign (R3, R5, R6) são raízes multifuncionais utilizadas para Secure Mail, Code Signing e outros usos. Em 2019, a GlobalSign criou duas raízes dedicadas a TLS, uma com chaves RSA, R46, e outra com chaves ECC, E46. Para obter a lista de certificados raiz da GlobalSign, consulte esta página.
Os requisitos mais rigorosos vêm da Política do Programa de Raízes do Chrome que, com base em nossos planos de emissão, terá a restrição SCTNotAfter definida em todas as raízes multifuncionais da GlobalSign 90 dias a partir de 15 de junho de 2026. Isso significa que todos os certificados emitidos sob qualquer uma das raízes multifuncionais da GlobalSign antes de 13 de setembro de 2026 serão confiáveis durante todo o seu período de validade, e quaisquer certificados emitidos após essa data não serão confiáveis.
Alterações no perfil do certificado TLS do Chrome
Além da remoção das raízes e/ou da aplicação da restrição SCTNotAfter, o Chrome especificou que os certificados TLS emitidos sob raízes dedicadas TLS devem conter apenas o ServerAuth Extended Key Usage (EKU). Isso significa que todos os outros EKUs, incluindo o ClientAuth EKU comumente usado, não serão mais possíveis sob raízes dedicadas TLS. Recomendamos o uso do produto IntranetSSL para a emissão de certificados TLS com recursos de autenticação de cliente.
Resumo
Considerando todas as referências acima, a GlobalSIgn continuará a emitir certificados TLS com EKUs ServerAuth e ClientAuth que serão confiáveis durante toda a sua validade de 200 dias sob nossas raízes multifuncionais até agosto de 2026; no entanto, pretendemos fazer a transição antes disso para evitar quaisquer desafios imprevistos de última hora. Segue um plano mais detalhado:
Para clientes Atlas:
-
A partir da rotação da CA no terceiro trimestre de 2025 (8 de julho de 2025, de acordo com nossa programação publicada aqui), um novo conjunto de CAs sob nossas raízes dedicadas a TLS será criado e estará disponível para uso opcional.
Os clientes que desejarem testar os certificados TLS emitidos a partir das raízes dedicadas TLS podem fazê-lo usando os links de teste disponíveis no artigo de suporte do Certificado Raiz GlobalSign sob a raiz aplicável.
-
todas as emissões TLS serão transferidas para as raízes dedicadas TLS. Forneceremos certificados cruzados R3-R46 e R5-E46, que proporcionarão aos navegadores e aplicativos uma cadeia de volta ao R3 e R5 para a melhor ubiquidade.
Para os clientes Atlas que não precisam necessariamente de suporte para navegadores, recomendamos fortemente o uso de nossa oferta IntranetSSL, que permite maior validade do certificado, maior reutilização do domínio, sem verificações CAA e privacidade adicional, uma vez que os certificados não são publicados nos registros CT.
Para clientes GCC:
-
No quarto trimestre de 2025, um novo conjunto de CAs MSSL OV/EV será criado para uso opcional. Todas as emissões serão transferidas no terceiro trimestre de 2026.
-
Em 27 de julho de 2026, os produtos de varejo e de parceiros serão transferidos para CAs raiz TLS dedicadas.
Para nossos clientes Enterprise que não precisam necessariamente de suporte ao navegador, recomendamos fortemente o uso de nossa oferta IntranetSSL, que permite maior validade do certificado, maior reutilização do domínio, sem verificações CAA e privacidade adicional, uma vez que os certificados não são publicados nos logs CT.
Produtos afetados
-
TLS: DV, OV, EV
-
MSSL: OV, EV
Related Articles
Atlas Discovery
Faça a varredura de seus terminais para localizar todos os seus certificados.
Inscrever-seTeste de configuração SSL
Verifique a instalação do seu certificado quanto a problemas e vulnerabilidades de SSL.