SSLmentor

Certificados TLS/SSL de qualidade para sites e projetos de internet.

Área de Cliente
new roots

new roots

Novos certificados ROOT

As Autoridades de Certificação estão a responder a novos requisitos e políticas da Mozilla e Google e estão a implementar novos certificados Root para cumprir com estas normas e para garantir que os seus certificados sejam confiáveis nos navegadores. Estas mudanças também atendem às exigências de segurança em evolução e seguem os padrões da indústria e as regras definidas pelo CA/Browser Forum para certificados Root.

Se estiver a utilizar sistemas operativos e navegadores atualizados, e os seus clientes/visitantes do site também, provavelmente não notará quaisquer alterações.
Para sistemas mais antigos ou desatualizados (por exemplo, versões antigas do Android < versão 14), é necessário instalar os chamados certificados cruzados no servidor para garantir o funcionamento contínuo e correto dos certificados SSL, incluindo os certificados S/MIME.
O certificado cruzado é colocado no final da hierarquia do certificado ROOT durante a instalação, na chamada cadeia de certificados (certificados intermédios), que é instalada no servidor juntamente com o certificado emitido.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

A Autoridade de Certificação DigiCert iniciou já em 2023 a migração dos seus certificados Root de segunda geração (G2). Informações sobre as alterações estão publicadas na página DigiCert root and intermediate CA certificate updates 2023.

CA Certum

A CA Certum introduziu novos certificados Root em conformidade com as políticas da Mozilla e Google em 15 de setembro de 2025. É importante saber que os certificados com RSA ou curvas elípticas (ECC) são diferenciados. Mais informações são publicadas pela CA Certum na página Certum implements new Root CAs

CA Sectigo

A CA Sectigo iniciou a migração das Public Root CAs em 2025, especificamente em abril (EV), maio (OV) e junho (certificados DV, certificados PositiveSSL). Mais informações estão publicadas na página Sectigo KB - Public Root CAs Migration

Certificados PositiveSSL

Para que estes populares certificados SSL sejam confiáveis também em versões mais antigas de sistemas operativos e navegadores, é necessário adicionar o certificado cruzado USERTrust aos certificados Root. Se não tiver o ficheiro completo CA Bundle, pode descarregá-lo aqui.

Certificados intermédios no ficheiro cabundle-positivessl.txt (descarregar):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Válido até: 21 de março de 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Válido até: 18 de janeiro de 2038
            ---
            CN: USERTrust RSA Certification Authority
            Válido até: 18 de janeiro de 2038
            ---

FAQ

Por que estas alterações são necessárias?

Estas alterações são essenciais para garantir a segurança e a fiabilidade dos certificados SSL/TLS de acordo com os padrões e requisitos de segurança atuais. Certificados Root mais antigos podem ter uma segurança mais fraca ou não cumprir os novos requisitos, o que pode causar problemas de compatibilidade e confiança nos certificados.

O que é recomendado fazer

  • Descontinuar o Certificate Pinning, se utilizado
  • Atualizar os certificados em uso
  • Atualizar os seus sistemas

O que é cross-signing?

As Autoridades de Certificação geralmente gerem vários certificados Root e, em geral, quanto mais antigo for o ROOT, mais ampla é a sua distribuição em plataformas antigas. Para aproveitar isso, geram certificados cruzados para garantir o suporte mais amplo possível aos seus certificados. Certificado cruzado significa que um certificado Root assina outro certificado Root.
Mais informações: Sectigo KB - What is Cross-Signing?

Onde encontrar mais informações

Instalação de novos certificados Root em sistemas Windows (IIS)

Novos certificados ROOT são regularmente adicionados pelo Windows Update, mas se quiser ter certeza de que estão instalados, pode descarregá-los e instalá-los manualmente. No entanto, por vezes pode ocorrer um problema com certificados de sites que possuem múltiplos caminhos de certificação confiáveis para Autoridades de Certificação Root. O certificado do site então aparece como não confiável para visitantes com sistemas mais antigos, o que é causado por um certificado cruzado em falta que o IIS não publica corretamente.
A solução para administradores IIS está aqui: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

E agora?

Voltar para Ajuda
Encontrou um erro ou não entendeu algo? Escreva para nós!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum