گذار Certum به ریشه‌های جدید گواهی SSL

گذار Certum به ریشه‌های جدید گواهی دیجیتال
Certum از ۱۵ سپتامبر ۲۰۲۵ Root CAهای جدید را جایگزین ریشه‌های قدیمی می‌کند؛ تغییری که برای سیستم‌های قدیمی بدون به‌روزرسانی می‌تواند به قطع اعتماد TLS و S/MIME منجر شود.

مرجع صدور گواهی Certum اعلام کرد از ۱۵ سپتامبر ۲۰۲۵، هم‌زمان با سیاست‌های جدید Mozilla و Google Chrome، ریشه‌های قدیمی گواهی دیجیتال خود را بازنشسته و Root CAهای جدید را عملیاتی می‌کند. این سیاست ناشی از حذف اعتماد به Root CAهای قدیمی‌تر از ۱۵ سال برای TLS/SSL و ۱۸ سال برای S/MIME است. در نتیجه، گواهی‌های مبتنی بر ریشه‌های قدیمی در مرورگرها و سیستم‌عامل‌های به‌روز دیگر معتبر نخواهند بود. Certum با معرفی «Certum Trusted Root CA» و «Certum EC-384 CA» و همچنین به‌کارگیری cross-certification تلاش کرده سازگاری با محیط‌های قدیمی را حفظ کند، اما به مدیران زیرساخت توصیه شده از pinning گواهی اجتناب کرده و در صورت استفاده از سامانه‌های قدیمی، نصب ریشه‌ها و cross-certificateها را بررسی کنند.

۱) چرا تغییر Root CA اجتناب‌ناپذیر شد؟

تحول اخیر در سیاست‌های اعتماد مرورگرها، نقطه عطفی در اکوسیستم PKI به‌شمار می‌رود. Mozilla Firefox و Google Chrome تصمیم گرفته‌اند برای افزایش امنیت کاربران، اعتماد به Root CAهای بسیار قدیمی را متوقف کنند؛ به‌طور مشخص، ریشه‌هایی که بیش از ۱۵ سال (برای TLS/SSL) و ۱۸ سال (برای S/MIME) عمر دارند. منطق این تصمیم، کاهش ریسک‌های رمزنگاری، هم‌راستاسازی با استانداردهای مدرن و محدود کردن سطح حمله ناشی از کلیدهای قدیمی است. در چنین چارچوبی، حتی اگر یک Root CA از نظر فنی منقضی نشده باشد، در مرورگرهای جدید «نامطمئن» تلقی می‌شود و زنجیره اعتماد می‌شکند.

۲) اثر مستقیم بر گواهی‌های Certum

Certum به‌عنوان یکی از CAهای معتبر اروپایی، اعلام کرده است که گواهی‌های صادرشده بر پایه ریشه‌های قدیمی زیر، به‌تدریج اعتماد خود را در محیط‌های جدید از دست می‌دهند:

  • Certum CA (بازنشسته)
  • Certum Trusted Network CA (تاریخ حذف اعتماد: ۱۵ آوریل ۲۰۲۷)
  • Certum Trusted Network CA 2 (تاریخ حذف اعتماد: ۱۵ آوریل ۲۰۲۸)

این بدان معناست که پس از اعمال سیاست‌های جدید مرورگرها، وب‌سایت‌ها و سرویس‌های ایمیلی که همچنان از این ریشه‌ها استفاده کنند، در نسخه‌های جدید مرورگرها با هشدار امنیتی یا قطع کامل ارتباط امن مواجه می‌شوند.

۳) Root CAهای جدید Certum چیستند؟

از ۱۵ سپتامبر ۲۰۲۵، Certum دو Root CA جدید را معرفی و عملیاتی کرده است:

  • Certum Trusted Root CA
    • اعتبار SSL تا ۱۲ آوریل ۲۰۳۲
    • اعتبار S/MIME تا ۱۲ آوریل ۲۰۳۵
  • Certum EC-384 CA
    • اعتبار SSL تا ۲۲ مارس ۲۰۳۳
    • اعتبار S/MIME تا ۲۲ مارس ۲۰۳۶

این ریشه‌ها مطابق سیاست‌های موزیلا و گوگل دارای «end-of-trust» مشخص هستند و در تمامی مرورگرها و سیستم‌عامل‌های مدرن (Windows، macOS، iOS و Android ≥ ۱۴) مورد اعتماد قرار می‌گیرند.

۴) سازگاری با سیستم‌های قدیمی؛ نقش Cross-Certification

یکی از چالش‌های بزرگ مهاجرت Root CA، محیط‌هایی هستند که دیگر به‌روزرسانی امنیتی دریافت نمی‌کنند؛ مانند سیستم‌عامل‌های قدیمی یا دستگاه‌های صنعتی. Certum برای کاهش ریسک در این محیط‌ها از cross-certification استفاده کرده است؛ مکانیزمی که اجازه می‌دهد زنجیره اعتماد از ریشه قدیمی به ریشه جدید متصل شود.

برای این منظور، Certum cross-certificateهای زیر را ارائه کرده است:

  • Certum Trusted Root CA:
    • https://repository.certum.pl/ctnca-ctrca.pem
  • Certum EC-384 CA:
    • https://repository.certum.pl/ctnca-cec384ca.pem

مدیران سیستم در محیط‌های قدیمی باید اطمینان حاصل کنند که این cross-certificateها در trust store نصب شده‌اند.

۵) پیامدهای عملی برای TLS/SSL

در حوزه SSL/TLS، تمامی محصولات تجاری Certum (DV، OV و EV) به زنجیره‌های جدید مهاجرت می‌کنند. این مهاجرت هم برای کلیدهای RSA و هم ECC اعمال شده و شامل تغییر CAهای میانی (Subordinate CAs) است. به‌عنوان مثال، گواهی‌های DV که پیش‌تر از «Certum Trusted Network CA → Certum Domain Validation CA SHA2» صادر می‌شدند، اکنون از مسیر «Certum Trusted Root CA → Certum DV TLS G2 R39 CA» یا معادل ECC آن صادر خواهند شد.

نتیجه عملی این تغییر آن است که وب‌سایت‌هایی که گواهی خود را پس از تاریخ گذار مجدداً صادر (Reissue) کنند، به‌صورت خودکار به زنجیره جدید منتقل می‌شوند.

۶) پیامدهای عملی برای S/MIME

در بخش S/MIME نیز زنجیره‌های جدید برای گواهی‌های Mailbox، Individual، Sponsor و Organization معرفی شده‌اند. ریشه جدید RSA تحت «Certum Trusted Root CA → Certum SMIME RSA CA» و ریشه ECC تحت «Certum EC-384 CA → Certum SMIME ECC CA» عمل می‌کند. این تغییر برای سازمان‌هایی که از امضای ایمیل سازمانی استفاده می‌کنند حیاتی است؛ زیرا کلاینت‌های ایمیل به‌روز، گواهی‌های مبتنی بر ریشه‌های قدیمی را رد خواهند کرد.

۷) توصیه به مدیران زیرساخت

Certum به‌طور مشخص توصیه می‌کند:

  • از certificate pinning (قفل‌کردن اعتماد به یک گواهی یا ریشه خاص) اجتناب شود؛ زیرا مانع مهاجرت به ریشه‌های جدید می‌شود.
  • در صورت مشاهده خطاهای اعتماد، presence ریشه‌ها و Subordinate CAها در trust store سیستم‌ها بررسی گردد.
  • برای محیط‌های قدیمی، cross-certificateها نصب و آزمون شوند.
  • برنامه Reissue گواهی‌ها پس از ۱۵ سپتامبر ۲۰۲۵ در دستور کار قرار گیرد تا زنجیره جدید اعمال شود.

۸) الزام عملیاتی Certum

گذار Certum به Root CAهای جدید، بخشی از یک موج جهانی برای سخت‌گیرانه‌تر کردن سیاست‌های اعتماد است. برای سازمان‌هایی که زیرساخت وب، ایمیل امن یا سرویس‌های B2B دارند، این تغییر یک اقدام «اختیاری» نیست؛ بلکه یک الزام عملیاتی برای تداوم دسترس‌پذیری امن است. سیستم‌های به‌روز تقریباً بدون اختلال مهاجرت خواهند کرد، اما محیط‌های قدیمی در صورت بی‌توجهی می‌توانند با قطع اعتماد و هشدارهای امنیتی گسترده مواجه شوند. برنامه‌ریزی فعالانه، پرهیز از pinning و مدیریت درست زنجیره اعتماد، کلید عبور امن از این گذار است.

1 دی 1404

2بازدید