3 апр. 2026 г.

Предстоящие изменения в корневых серверах TLS и профилях сертификатов

ОБЗОР: В этой статье объясняются предстоящие изменения, инициированные отраслью, которые затрагивают общедоступные доверенные корневые сертификаты TLS и профили сертификатов TLS компании GlobalSign. Эти изменения вводятся программами корневых сертификатов браузеров (преимущественно в Mozilla Firefox и Google Chrome) и форумом CA/Browser Forum. Компания GlobalSign обновляет свою инфраструктуру, чтобы обеспечить полное соответствие требованиям при минимальном воздействии на клиентов. Эта страница регулярно обновляется с учетом последних изменений. Мы рекомендуем добавить эту страницу в закладки и периодически проверять наличие последних рекомендаций. Для получения дополнительных рекомендаций по SSL/TLS, пожалуйста, обратитесь к этой странице.

Важное замечание 

• Существующие корневые сертификаты GlobalSign не отзываются.  

• Старые корневые сертификаты будут по-прежнему существовать и могут использоваться в течение всего срока их действия для: 

  • случаев использования, не связанных с TLS, или  

  • Среды, не требующие доверия со стороны общедоступных браузеров 

• Промежуточные сертификаты (ICA), выданные на основании этих корневых сертификатов, также не будут отозваны. 

Краткое изложение ключевых изменений  

Поставщики браузеров периодически обновляют свои политики хранилищ корневых сертификатов для повышения безопасности и согласованности экосистемы. Недавние обновления политик Mozilla Firefox, Google Chrome и CA/Browser Forum ввели три ключевых изменения, затрагивающих TLS-сертификаты, пользующиеся общественным доверием: 

 

 

1. Ограничения максимального срока действия корневых сертификатов: Mozilla Firefox и Google Chrome больше не будут доверять TLS-сертификатам, цепочка которых содержит корневые сертификаты, срок действия которых превышает установленный предел. 

2. Требования к корневым сертификатам, предназначенным исключительно для TLS: общедоступные доверенные сертификаты TLS должны выдаваться на основе корневых сертификатов, предназначенных исключительно для TLS, и должны содержать только EKU «Аутентификация сервера» (ServerAuth). 

3. Сокращение срока действия сертификатов TLS: CA/Browser Forum одобрил сокращение максимального срока действия сертификатов TLS до 200 дней с 15 марта 2026 года. 

ПРИМЕЧАНИЕ: Эти изменения касаются только общедоступных доверенных сертификатов TLS. 

График удаления доверия к корням на основе их возраста в Chrome и Mozilla  

Как Chrome, так и Mozilla объявили о своих планах по отказу от доверия к старым корневым сертификатам TLS на основании дат их создания. 

Дата создания материала корневого ключа	Отмена доверия браузера к TLS	Применимые корневые сертификаты GlobalSign
До 2006 года	15 апреля 2025	Корневой сертификат GlobalSign R1 (выдача отключена)
2006–2007	15 апреля 2026
2008–2009 гг.	15 апреля 2027	GlobalSign Root R3*
2010–2011	15 апреля 2028
2012 — 14 апреля 2014	15 апреля 2029	GlobalSign Root R5 (ECC)
15 апреля 2014 г. — настоящее время	15 лет с момента создания	GlobalSign Root R6

* Что касается Root R3, GlobalSign должна прекратить выдачу 200-дневных сертификатов TLS к 27 августа 2026 года, чтобы обеспечить полное доверие браузеров на протяжении всего срока его действия.

Переход на корневые сертификаты, предназначенные исключительно для TLS, и профили сертификатов   

Корневые сертификаты, предназначенные исключительно для TLS, используются только для общедоступных доверенных сертификатов TLS. Они не используются совместно с Secure Email, Code Signing или другими сценариями использования PKI. 
В 2019 году GlobalSign проактивно создала два корневых сертификата, предназначенных исключительно для TLS: 

• R46 — корневой сертификат RSA TLS 

• E46 — корневой сертификат ECC TLS 

При выдаче из корневых сертификатов, предназначенных для TLS, сертификаты TLS должны: 

• содержать только расширенное использование ключа (EKU) «Аутентификация сервера» (ServerAuth) 

• Аутентификация клиента (ClientAuth); другие EKU больше не допускаются 

Ограничение Chrome SCTNotAfter 

Текущие корневые сертификаты GlobalSign (R3, R5, R6) являются многоцелевыми. Политики браузеров теперь требуют отделения выдачи TLS от других сценариев использования PKI. 
Google Chrome будет применять ограничение SCTNotAfter ко всем многоцелевым корневым сертификатам GlobalSign: 

• Дата вступления в силу: 13 сентября 2026 г. (через 90 дней после 15 июня 2026 г.) 

• Сертификаты, выданные до этой даты, будут оставаться доверенными в течение всего срока их действия 

• Сертификаты, выданные после этой даты, не будут считаться доверенными в Google Chrome 

Что делать, если вам нужна аутентификация клиента? 

Если вам требуются сертификаты TLS с EKU ClientAuth или вам не требуется доверие браузера, GlobalSign рекомендует использовать IntranetSSL, который предлагает: 

• Более длительный срок действия сертификата 

• Более длительные периоды повторного использования домена 

• Без проверки CAA 

• Отсутствие регистрации в системе Certificate Transparency (CT) (дополнительная конфиденциальность) 

Что это означает для вас 

• Если вы используете общедоступные доверенные сертификаты TLS: 

  • Вы автоматически перейдете на корневые сертификаты, предназначенные исключительно для TLS, в соответствии с приведенными ниже сроками 

  • С марта 2026 года будет применяться более короткий срок действия сертификатов (200 дней) 

  • Сертификаты с EKU ClientAuth больше не будут доступны из общедоступных корневых сертификатов TLS 

• Если вам не требуется доверие браузера: 

  • Не требуется никаких немедленных действий 

  • Существующие корневые сертификаты остаются действительными для сценариев использования, не связанных с TLS 

  • IntranetSSL может быть лучшим вариантом в долгосрочной перспективе 

План перехода GlobalSign 

Клиенты Atlas 

Дополнительную информацию см. в документе «Atlas — План перехода GlobalSign». 

Клиенты GCC 

• 4-й квартал 2025 г.: Создание новых центров сертификации MSSL OV/EV для опционального использования 

• 27 июля 2026 г.: все продукты клиентов и партнеров будут перенесены на корневые сертификаты, предназначенные для TLS 

• 13 сентября 2026 г.: все оставшиеся учетные записи, которые не были перенесены в июле, будут переведены на корневые сертификаты, предназначенные для TLS 

• Перекрестная сертификация: GlobalSign предоставит перекрестные сертификаты R3→R46 и R5→E46 для обеспечения максимальной совместимости во время перехода 

ПРИМЕЧАНИЕ: Клиентам, которым не требуется доверие браузера, рекомендуется использовать IntranetSSL.