SSLmentor

Certificati TLS/SSL di qualità per siti web e progetti su internet.

Accesso Clienti
new roots

new roots

Nuovi certificati ROOT

Le Autorità di Certificazione stanno rispondendo ai nuovi requisiti e alle politiche di Mozilla e Google e stanno distribuendo nuovi certificati Root per rispettarli e garantire che i loro certificati siano considerati attendibili nei browser. Questi cambiamenti soddisfano inoltre i requisiti di sicurezza in evoluzione e seguono gli standard di settore e le regole stabilite dal CA/Browser Forum per i certificati Root.

Se utilizzi sistemi operativi e browser aggiornati, e anche i tuoi clienti/visitatori del sito web lo fanno, molto probabilmente non noterai alcun cambiamento.
Per sistemi più vecchi o non aggiornati (ad es. versioni precedenti di Android < versione 14), è necessario installare i cosiddetti certificati incrociati sul server per garantire il funzionamento ininterrotto e corretto dei certificati SSL, inclusi i certificati S/MIME.
Il certificato incrociato viene posizionato alla fine della gerarchia del certificato ROOT durante l’installazione nella cosiddetta catena di certificati (certificati intermedi), che viene installata sul server insieme al certificato emesso.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

L’Autorità di Certificazione DigiCert ha iniziato la migrazione dei suoi certificati Root di seconda generazione (G2) già nel 2023. Le informazioni sui cambiamenti sono pubblicate nella pagina DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum ha introdotto nuovi certificati Root in conformità con le politiche di Mozilla e Google il 15 settembre 2025. È importante sapere che i certificati con RSA o curve ellittiche (ECC) sono distinti. Maggiori informazioni sono pubblicate da CA Certum nella pagina Certum implements new Root CAs

CA Sectigo

CA Sectigo ha iniziato la migrazione delle Root CA pubbliche nel 2025, in particolare ad aprile (EV), maggio (OV) e giugno (certificati DV, certificati PositiveSSL). Maggiori informazioni sono pubblicate nella pagina Sectigo KB - Public Root CAs Migration

Certificati PositiveSSL

Affinché questi popolari certificati SSL siano considerati attendibili anche nelle versioni meno recenti di sistemi operativi e browser, è necessario aggiungere il certificato incrociato USERTrust ai certificati Root. Se non disponi del file completo CA Bundle, puoi scaricarlo qui.

Certificati intermedi nel file cabundle-positivessl.txt (download):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Valido fino al: 21 marzo 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Valido fino al: 18 gennaio 2038
            ---
            CN: USERTrust RSA Certification Authority
            Valido fino al: 18 gennaio 2038
            ---

FAQ

Perché sono necessari questi cambiamenti?

Questi cambiamenti sono fondamentali per garantire la sicurezza e l’affidabilità dei certificati SSL/TLS in conformità con gli standard e i requisiti di sicurezza attuali. I certificati Root più vecchi possono avere una sicurezza più debole o non soddisfare i nuovi requisiti, il che può causare problemi di compatibilità e fiducia con i certificati.

Cosa è raccomandato fare

  • Interrompere il Certificate Pinning se utilizzato
  • Aggiornare i certificati in uso
  • Aggiornare i propri sistemi

Che cos’è il cross-signing?

Le Autorità di Certificazione spesso gestiscono più certificati Root e, generalmente, più vecchio è il ROOT, più ampia è la sua distribuzione sulle piattaforme meno recenti. Per sfruttare questo, generano certificati incrociati per garantire il più ampio supporto possibile ai loro certificati. Certificato incrociato significa che un certificato Root firma un altro certificato Root.
Maggiori informazioni: Sectigo KB - What is Cross-Signing?

Dove trovare ulteriori informazioni

Installazione di nuovi certificati Root nei sistemi Windows (IIS)

I nuovi certificati ROOT vengono regolarmente aggiunti tramite Windows Update, ma se vuoi essere sicuro che siano installati, puoi scaricarli e installarli manualmente. Tuttavia, a volte può verificarsi un problema con i certificati dei siti web che hanno più percorsi di certificazione attendibili verso le Autorità di Certificazione Root. Il certificato del sito web appare quindi come non attendibile per i visitatori con sistemi più vecchi, a causa di un certificato incrociato mancante che IIS non pubblica correttamente.
La soluzione per gli amministratori di IIS è qui: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

Dove andare dopo?

Torna alla Guida
Hai trovato un errore o non capisci qualcosa? Scrivici!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum