Mozilla mění pravidla. Co to znamená pro váš web?
Mozilla mění pravidla pro certifikační autority. Co to znamená pro vás?
Všimli jste si někdy toho malého zámku v adresním řádku prohlížeče? Za ním se skrývá práce Mozilla Root Store programu, který spravuje seznam důvěryhodných Certificate Authorities (CA). Právě jejich certifikáty pohání HTTPS na celém webu. Mozilla teď představila verzi 3.1 svých pravidel a ačkoliv to může znít jako nudná byrokracie, dopady pocítí každý, kdo provozuje web nebo staví aplikace.
Od revocation k důvěře
Dřívější aktualizace se soustředily hlavně na revocation mechanizmy a automatizaci – důležité, ale dost technické záležitosti. Verze 3.1 jde jiným směrem. Mozilla se přestala ptát "jak rychle odvolávat certifikáty?" a začala řešit fundamentálnější otázku: "Jak vlastně víme, že CA dělají to, co tvrdí?"
A to je podstatný posun. Web PKI je páteří webového zabezpečení, ale její důvěryhodnost závisí na dokumentaci, transparentnosti a nezávislém ověřování. Když nevidíte, jak CA funguje, nemůžete ji smysluplně auditovat.
Přísnější pravidla pro dokumentaci
Od 1. července 2026 musejí CA splnit přísnější požadavky na své Certificate Practice Statements (CPS) a kombinované Certificate Policy dokumenty. Nová pravidla vyžadují dokumentaci, která je:
- Jasná a ohraničená – žádné vágní formulace ani neomezené disclaimer
- Ověřitelná – dokumentace musí být natolik detailní, aby auditoři mohli ověřit skutečnou praxi
- Správně spravovaná – požadavky na verzování a dostupnost zajišťují odpovědnost v čase
Představte si to jako rozdíl mezi smlouvou s drobným písmem typu "budeme se snažit" a smlouvou, která jasně definuje odpovědnosti, testovací postupy a kritéria úspěchu. nejde o zbytečnou byrokracii – jde o to, aby dokumentace něco znamenala.
Pro firmy to znamená větší jistotu, že praktiky poskytovatele certifikátů odpovídají jeho veřejným tvrzením. A také míň nepříjemných překvapení při auditech vlastní compliance.
Detailed Controls Reports: pohled pod kapotu
Možná nejzásadnější změnou je zavedení Detailed Controls Reports (DCRs), povinných od auditních období začínajících 1. července 2027. Tradiční WebTrust a ETSI audity sice poskytují cenné ověření compliance, ale často postrádají viditelnost konkrétních kontrol a testovacích postupů, které za těmito závěry stojí.
DCRs to mění. CA nyní musejí dokumentovat:
- Rozsah a hranice svých CA systémů
- Implementované kontroly
- Testovací postupy auditorů a jejich výsledky
- Případné výjimky nebo nedostatky
Je to podobné, jako kdybyste přešli od kontroly vozu s verdiktem "způsobilé k provozu" kprotokolu, který obsahuje tloušťku brzdových destiček, hloubku dezénu pneumatik a hladiny kapalin. Obě vozidla můžou projet, ale jedno vám dá mnohem větší jistotu ohledně toho, co vlastně dostáváte.
Proč byste si toho měli všímat
Ať už řídíte startup, spravujete webhostingovou platformu nebo stavíte aplikace zpracovávající citlivá data, tyto změny se vás týkají:
Větší důvěra v poskytovatele certifikátů – Když vaše CA musí poskytovat detailní dokumentaci a reporty o kontrolách, máte lepší záruku, že základy vašeho zabezpečení jsou pevné.
Rychlejší řešení incidentů – Lepší dokumentace znamená rychlejší analýzu příčin, když se něco pokazí. A něco se občas pokazí, i u těch nejlepších CA.
Jednodušší compliance – Pokud potřebujete prokazovat bezpečnostní praktiky zákazníkům, partnerům nebo regulatorům, transparentnější CA ekosystém posiluje vaši celkovou compliance pozici.
Menší riziko v supply chainu – Certifikátový ekosystém je součástí vašeho bezpečnostního supply chainu. Přísnější požadavky upstream znamenají bezpečnější základy pro všechny downstream.
Co dál
Mozilla tímto krokem vyzrála v governance modelu Web PKI. Místo pouhého přidávání technických požadavků se zaměřuje na lidské systémy – dokumentaci, auditování a struktury odpovědnosti, které dávají technickým bezpečnostním opatřením smysl.
U NameOcean věříme, že tento důraz na transparentnost prospívá celému webovému ekosystému. Ať už registrujete domain, nastavujete SSL certifikáty nebo stavíte další generaci webových aplikací, tyto změny v certifikátové infrastruktuře pomáhají zajistit, že onen "secure" odznak skutečně něco znamená.
Efektivní data (1. července 2026 pro změny politiky, 1. července 2027 pro DCR požadavky) dávají CA čas na přizpůsobení procesů. Pro většinu majitelů webů budou změny neviditelné – další důvěryhodný certifikát tiše pracující na pozadí. Ale za tím zámkem v adresním řádku se fundamenty postupně posilují.
Držte se zkrátka.