Nieuwe ROOT-certificaten

Certificeringsautoriteiten reageren op nieuwe vereisten en beleidsregels van Mozilla en Google en implementeren nieuwe Root-certificaten om hieraan te voldoen en om ervoor te zorgen dat hun certificaten in browsers worden vertrouwd. Deze wijzigingen voldoen ook aan de zich ontwikkelende beveiligingseisen en volgen de industriestandaarden en regels die zijn vastgesteld door het CA/Browser Forum voor Root-certificaten.

Als u up-to-date besturingssystemen en browsers gebruikt, en uw klanten/bezoekers van uw website ook, zult u waarschijnlijk geen veranderingen merken.
Voor oudere of verouderde systemen (bijv. oudere versies van Android < versie 14) is het noodzakelijk om zogenoemde cross-certificaten op de server te installeren om een ononderbroken en correcte werking van SSL-certificaten, inclusief S/MIME-certificaten, te waarborgen.
Het cross-certificaat wordt aan het einde van de ROOT-certificaathiërarchie geplaatst tijdens de installatie in de zogenaamde certificaatketen (intermediaire certificaten), die samen met het uitgegeven certificaat op de server wordt geïnstalleerd.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

De Certificeringsautoriteit DigiCert is in 2023 al begonnen met de migratie van haar tweede generatie (G2) Root-certificaten. Informatie over de wijzigingen is gepubliceerd op de pagina DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum heeft op 15 september 2025 nieuwe Root-certificaten geïntroduceerd in overeenstemming met het beleid van Mozilla en Google. Het is belangrijk om te weten dat certificaten met RSA of elliptische krommen (ECC) worden onderscheiden. Meer informatie wordt door CA Certum gepubliceerd op de pagina Certum implements new Root CAs

CA Sectigo

CA Sectigo is in 2025 begonnen met de migratie van Public Root CAs, specifiek in april (EV), mei (OV) en juni (DV-certificaten, PositiveSSL-certificaten). Meer informatie is gepubliceerd op de pagina Sectigo KB - Public Root CAs Migration

PositiveSSL-certificaten

Opdat deze populaire SSL-certificaten ook worden vertrouwd in oudere versies van besturingssystemen en browsers, is het noodzakelijk om het USERTrust cross-certificaat toe te voegen aan de Root-certificaten. Als u niet over het volledige CA Bundle-bestand beschikt, kunt u het hier downloaden.

Intermediaire certificaten in het bestand cabundle-positivessl.txt (downloaden):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Geldig tot: 21 maart 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Geldig tot: 18 januari 2038
            ---
            CN: USERTrust RSA Certification Authority
            Geldig tot: 18 januari 2038
            ---
        

FAQ

Waarom zijn deze wijzigingen nodig?

Deze wijzigingen zijn essentieel om de veiligheid en betrouwbaarheid van SSL/TLS-certificaten te waarborgen in overeenstemming met de huidige beveiligingsnormen en vereisten. Oudere Root-certificaten kunnen een zwakkere beveiliging hebben of mogelijk niet voldoen aan de nieuwe vereisten, wat kan leiden tot compatibiliteits- en betrouwbaarheidsproblemen met certificaten.

Aanbevolen acties

• Stop met Certificate Pinning indien gebruikt
• Werk de gebruikte certificaten bij
• Update uw systemen

Wat is cross-signing?

Certificeringsautoriteiten beheren vaak meerdere Root-certificaten en over het algemeen geldt: hoe ouder de ROOT, hoe breder de distributie op oudere platforms. Om hiervan te profiteren, genereren zij cross-certificaten om de breedst mogelijke ondersteuning van hun certificaten te waarborgen. Cross-certificaat betekent dat één Root-certificaat een ander Root-certificaat ondertekent.
Meer informatie: Sectigo KB - What is Cross-Signing?

Waar vindt u meer informatie

• Google Chrome: Google Chrome Root Program Policy
• Microsoft: Microsoft Trusted Root Program
• Mozilla: Mozilla Root Store Policy
• CA/B Forum: cabforum.org

Installatie van nieuwe Root-certificaten in Windows-systemen (IIS)

Nieuwe ROOT-certificaten worden regelmatig toegevoegd via Windows Update, maar als u zeker wilt zijn dat ze zijn geïnstalleerd, kunt u ze handmatig downloaden en installeren. Soms kan er echter een probleem optreden met websitecertificaten die meerdere vertrouwde certificatiepaden naar Root-CA’s hebben. Het websitecertificaat verschijnt dan als niet-vertrouwd voor bezoekers met oudere systemen, wat wordt veroorzaakt door een ontbrekend cross-certificaat dat IIS niet correct publiceert.
Oplossing voor IIS-beheerders is hier: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

---

Wat nu?

• SSL-certificaat - Alles wat je moet weten
• Wat is een WildCard SSL-certificaat?
• Certificaatformaten (PEM, KEY, CSR, PFX, ...)
• Verkorting van de certificaatgeldigheid