Nouveaux certificats ROOT

Les Autorités de Certification répondent aux nouvelles exigences et politiques de Mozilla et Google et déploient de nouveaux certificats Root afin de s’y conformer et de garantir que leurs certificats soient approuvés dans les navigateurs. Ces changements répondent également aux exigences de sécurité en constante évolution et suivent les normes de l’industrie ainsi que les règles établies par le CA/Browser Forum pour les certificats Root.

Si vous utilisez des systèmes d’exploitation et des navigateurs à jour, et que vos clients/visiteurs de votre site web le font également, vous ne remarquerez probablement aucun changement.
Pour les systèmes plus anciens ou obsolètes (par ex. anciennes versions d’Android < version 14), il est nécessaire d’installer les certificats croisés sur le serveur afin d’assurer le fonctionnement ininterrompu et correct des certificats SSL, y compris les certificats S/MIME.
Le certificat croisé est placé à la fin de la hiérarchie du certificat ROOT lors de l’installation dans ce que l’on appelle la chaîne de certificats (certificats intermédiaires), qui est installée sur le serveur avec le certificat émis.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

L’Autorité de Certification DigiCert a déjà commencé en 2023 la migration de ses certificats Root de deuxième génération (G2). Les informations concernant ces changements sont publiées sur la page DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum a introduit de nouveaux certificats Root conformément aux politiques de Mozilla et Google le 15 septembre 2025. Il est important de savoir que les certificats avec RSA ou courbes elliptiques (ECC) sont différenciés. Plus d’informations publiées par CA Certum sur la page Certum implements new Root CAs

CA Sectigo

CA Sectigo a commencé la migration de ses Root CAs publiques en 2025, en particulier en avril (EV), mai (OV) et juin (certificats DV, certificats PositiveSSL). Plus d’informations sont publiées sur la page Sectigo KB - Public Root CAs Migration

Certificats PositiveSSL

Afin que ces certificats SSL populaires soient également approuvés dans les versions plus anciennes des systèmes d’exploitation et des navigateurs, il est nécessaire d’ajouter le certificat croisé USERTrust aux certificats Root. Si vous n’avez pas le fichier CA Bundle complet, vous pouvez le télécharger ici.

Certificats intermédiaires dans le fichier cabundle-positivessl.txt (télécharger):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Valide jusqu’au : 21 mars 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Valide jusqu’au : 18 janvier 2038
            ---
            CN: USERTrust RSA Certification Authority
            Valide jusqu’au : 18 janvier 2038
            ---
        

FAQ

Pourquoi ces changements sont-ils nécessaires ?

Ces changements sont essentiels pour garantir la sécurité et la fiabilité des certificats SSL/TLS conformément aux normes et exigences de sécurité actuelles. Les anciens certificats Root peuvent présenter une sécurité plus faible ou ne pas répondre aux nouvelles exigences, ce qui peut entraîner des problèmes de compatibilité et de confiance avec les certificats.

Que recommander

• Arrêter le Certificate Pinning si utilisé
• Mettre à jour les certificats utilisés
• Mettre à jour vos systèmes

Qu’est-ce que le cross-signing ?

Les Autorités de Certification gèrent souvent plusieurs certificats Root et, en général, plus le ROOT est ancien, plus sa distribution est large sur les anciennes plateformes. Pour en tirer parti, elles génèrent des certificats croisés afin de garantir le support le plus large possible de leurs certificats. Certificat croisé signifie qu’un certificat Root signe un autre certificat Root.
Plus d’informations : Sectigo KB - What is Cross-Signing?

Où trouver plus d’informations

• Google Chrome: Google Chrome Root Program Policy
• Microsoft: Microsoft Trusted Root Program
• Mozilla: Mozilla Root Store Policy
• CA/B Forum: cabforum.org

Installation de nouveaux certificats Root dans les systèmes Windows (IIS)

Les nouveaux certificats ROOT sont régulièrement ajoutés via Windows Update, mais si vous souhaitez être sûr qu’ils soient installés, vous pouvez les télécharger et les installer manuellement. Cependant, il peut parfois survenir un problème avec les certificats de sites web qui ont plusieurs chemins de certification approuvés vers les Autorités de Certification Root. Le certificat du site apparaît alors comme non approuvé pour les visiteurs avec des systèmes plus anciens, ce qui est causé par un certificat croisé manquant que IIS ne publie pas correctement.
La solution pour les administrateurs IIS est ici : Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

---

Et après ?

• Certificat SSL - Tout ce que vous devez savoir
• Qu'est-ce qu'un certificat SSL WildCard ?
• Formats de certificat (PEM, KEY, CSR, PFX, ...)
• Réduction de la durée de validité des certificat