8 окт. 2025 г.

Предстоящие изменения в корневых сертификатах TLS и профилях сертификатов

ОБЗОР: На этой странице представлены предстоящие изменения и обновления корневых сертификатов TLS и профилей сертификатов GlobalSign. Страница будет регулярно обновляться по мере появления новых данных. Мы рекомендуем добавить её в закладки или периодически возвращаться к ней, чтобы быть в курсе последних изменений и новостей. Список корневых сертификатов GlobalSign см. на этой странице.

Краткое изложение изменений  

Mozilla и Chrome объявили об изменениях, которые требуют внесения изменений в корневые сертификаты, используемые GlobalSign, и в профили сертификатов TLS для общедоступных доверенных сертификатов TLS.  В этой статье описываются источники этих новых требований и наш график их выполнения.

Объявления  

• Объявление Mozilla об удалении корневых сертификатов, которым более 15 лет.  

• Политика Mozilla в отношении хранилища корневых сертификатов.  

• Политика программы корневых сертификатов Chrome.  

• Голосование CAB Forum SC-81: сокращение максимального срока действия сертификатов до 200 дней, начиная с марта 2026 года. 

Сроки удаления доверия в Chrome и Mozilla на основе возраста корневого сертификата   

Как Chrome, и Mozilla объявили о своих планах прекратить доверие к корневым сертификатам TLS, созданным более 15 лет назад, основываясь на дате их выпуска.  

Временные рамки	Утрата доверия к корневому TLS	Применимые корневые сертификаты GlobalSign
До 2006 года	15 апреля 2025 года	Корневой сертификат GlobalSign R1 — выпуск прекращен
2006–2007	15 апреля 2026 года
2008-2009	15 апреля 2027 года	GlobalSign Root R3 – необходимо прекратить выпуск сертификатов сроком 200 дней до 27 августа 2026 года, чтобы они сохраняли доверие со стороны Mozilla и Chrome на весь срок действия.
2010-2011	15 апреля 2028 года
2012–14 апреля 2014	15 апреля 2029 года	GlobalSign Root R5 (ECC)
15 апреля 2014 года – настоящее время	Через 15 лет с момента создания	GlobalSign Root R6

График перехода на специализированные корневые сертификаты TLS (Mozilla и Chrome)  

Как Chrome, так и Mozilla установили сроки перехода на специализированные корневые сертификаты TLS. В настоящее время используемые GlobalSign корневые сертификаты (R3, R5, R6) являются многоцелевыми и применяются для защищённой электронной почты, подписи кода и других задач.  В 2019 году GlobalSign создала два специализированных корневых сертификата TLS: один с RSA-ключами — R46, и другой с ECC-ключами — E46. 
Список корневых сертификатов GlobalSign см. на этой странице. 

Наиболее строгие требования предъявляются политикой программы корневых сертификатов Chrome. Согласно нашим планам выпуска, ограничение SCTNotAfter будет применено ко всем многоцелевым корневым сертификатам GlobalSign через 90 дней после 15 июня 2026 года. Это означает, что все сертификаты, выпущенные до 13 сентября 2026 года под любым из многоцелевых корневых сертификатов GlobalSign, будут оставаться доверенными на весь срок действия. Сертификаты, выпущенные после этой даты, не будут считаться доверенными.  

Изменения в профиле TLS-сертификатов Chrome  

Помимо удаления корневых сертификатов и применения ограничения SCTNotAfter, Chrome указал, что TLS-сертификаты, выпускаемые под специализированными корневыми сертификатами TLS, должны содержать только расширенное назначение ключа (EKU) ServerAuth. 
Это означает, что все другие EKU, включая широко используемое ClientAuth, больше не будут допустимы для сертификатов, выпущенных под специализированными корнями TLS. Мы рекомендуем использовать продукт IntranetSSL для выпуска TLS-сертификатов с поддержкой клиентской аутентификации. 

Резюме  

Учитывая все вышеуказанные ссылки, GlobalSign продолжит выпуск TLS-сертификатов с расширенными назначениями ключей (EKU) ServerAuth и ClientAuth, которые будут оставаться доверенными на весь срок действия (200 дней) при использовании многоцелевых корневых сертификатов до августа 2026 года. Тем не менее, мы планируем завершить переход раньше, чтобы избежать возможных непредвиденных трудностей в последний момент. Ниже приведён более подробный план: 

Для клиентов Atlas:  

• Начиная с ротации CA за 3 квартал 2025 года (8 июля 2025 года, согласно нашему графику, опубликованному здесь), будет создан новый набор центров сертификации (CA) под специализированными корневыми сертификатами TLS, доступный для использования по желанию.  
   
  Клиенты, желающие протестировать TLS-сертификаты, выпущенные под специализированными корнями TLS, могут воспользоваться тестовыми ссылками, доступными в статье поддержки о корневых сертификатах GlobalSign соответствующей корневому сертификату.  

• В 3 квартале 2026 года весь выпуск TLS-сертификатов будет переведён на специализированные корни TLS. Мы предоставим перекрёстные сертификаты R3-R46 и R5-E46, которые обеспечат обратную цепочку к R3 и R5 для максимальной совместимости с браузерами и приложениями.  

Для клиентов Atlas, которым не требуется поддержка браузеров, мы настоятельно рекомендуем использовать продукт IntranetSSL, который позволяет: 

• более длительный срок действия сертификатов, 

• более длительное повторное использование доменов, 

• отсутствие проверки CAA, 

• повышенную конфиденциальность (сертификаты не публикуются в CT-логах). 

 

Для клиентов GCC:  

В 4 квартале 2025 года будет создан новый набор центров сертификации (CA) для MSSL OV/EV, доступный для использования по желанию. 
Весь выпуск сертификатов будет переведён на специализированные корни TLS в 3 квартале 2026 года. 

27 июля 2026 года розничные и партнёрские продукты будут переведены на CA, основанные на специализированных корнях TLS. 

Для корпоративных клиентов, которым не требуется поддержка браузеров, мы настоятельно рекомендуем использовать продукт IntranetSSL, который предлагает: 

• более длительный срок действия сертификатов, 

• более длительное повторное использование доменов, 

• отсутствие проверки CAA, 

• повышенную конфиденциальность (сертификаты не публикуются в CT-логи).  

Продукты, на которые это повлияет:  

• TLS: DV, OV, EV  

• MSSL: OV, EV