Mozillas nye root store-policy: Hva det betyr for nettsikkerheten din

Mozillas nye root store-policy: Hva det betyr for nettsikkerheten din

Jul 04, 2026 ssl certificates web security pki mozilla certificate authorities https tls web hosting compliance dns security

Mozilla strammer inn sertifikatreglene – og det betyr noe for deg som driver nettside

Har du lagt merke til det lille hengelåsikonet i adressefeltet? Da har du hatt glede av Mozilla sin Root Store-program. Dette programmet vedlikeholder listen over Certificate Authorities (CAs) – altså de som utsteder sertifikatene som sikrer HTTPS-tilkoblinger på nett.

Nå har Mozilla lansert versjon 3.1 av sin Root Store Policy. Kanskje høres det ut som teknisk rot, men endringene har konkrete konsekvenser for alle som driver nettsider eller bygger webapplikasjoner.

Fra tilbakekalling til tillit

Tidligere oppdateringer har stort sett handlet om certificate revocation og automatisering. Versjon 3.1 tar en annen retning. Spørsmålet er ikke lenger «hvordan tilbakekaller vi sertifikater raskere?» – men heller «hvordan vet vi at CAs faktisk gjør det de sier de gjør?»

Dette er viktig. Web PKI (Public Key Infrastructure) er ryggraden i nettsikkerhet, men tilliten avhenger av dokumentasjon, åpenhet og uavhengig verifisering. Hvis du ikke kan se hvordan en CA opererer, blir revisjon umulig.

Skjerpede dokumentasjonskrav

Fra 1. juli 2026 må CAs forholde seg til strengere krav til sine Certificate Practice Statements (CPS) og kombinerte Certificate Policy-dokumenter. De nye reglene krever at dokumentasjonen er:

  • Klar og avgrenset: Ingen flere vage formuleringer eller ubegrensede ansvarsfraskrivelser
  • Revisorbart: Dokumentasjonen må være detaljert nok til at revisorer kan verifisere faktisk praksis
  • Godt vedlikeholdt: Versjonskontroll og tilgjengelighetskrav sikrer løpende ansvarliggjøring

Tenk på det som forskjellen mellom en kontrakt med småskrift som sier «vi skal prøve vårt beste» og én som tydelig beskriver ansvar, testprosedyrer og suksenskriterier. Dette handler ikke om å påføre CAs unødvendig byråkrati – det handler om at dokumentasjonen faktisk betyr noe.

For bedrifter betyr dette større trygghet for at sertifikatleverandørens praksis samsvarer med hva de hevder offentlig. Det betyr også færre overraskelser når du skal dokumentere egen compliance.

Detailed Controls Reports: Åpner boksen

Kanskje den viktigste endringen er innføringen av Detailed Controls Reports (DCRs), påkrevd for revisionsperioder som starter 1. juli 2027. Tradisjonelle WebTrust- og ETSI-revisjoner gir verdifull compliance-verifisering, men mangler ofte innsyn i de spesifikke kontrollene og testprosedyrene som ligger til grunn.

DCRs endrer dette ved å kreve at CAs dokumenterer:

  • Omfanget og grensene til CA-systemene
  • Hvilke spesifikke kontroller som er implementert
  • Revisors testprosedyrer og resultater
  • Eventuelle unntak eller mangler som er avdekket

Det er omtrent som å gå fra en bilinspeksjon som sier «kjørbar» til én som inkluderer detaljerte notater om bremseklosstykkelse, dekkdimensjon og væskenivåer. Begge kan bestå, men én gir deg langt mer trygghet for hva du faktisk får.

Hvorfor dette angår deg

Driver du startup, administrerer en webhotellplattform, eller bygger applikasjoner som håndterer sensitive data? Da bør disse endringene være relevante for deg.

Større trygghet hos sertifikatleverandører: Når din CA må levere detaljert dokumentasjon og kontrollrapporter, får du bedre forsikring om at sikkerhetsfundamentet er solidt.

Raskere feilanalyse: Bedre dokumentasjon betyr raskere identifisering av årsaker når noe går galt – og det gjør det iblant, selv med de beste CAs.

Enklere compliance: Hvis bedriften din må demonstrere sikkerhetspraksis overfor kunder, partnere eller regulatorer, styrker et mer transparent CA-økosystem din totale compliance-posisjon.

Redusert leverandørkjederisiko: Sertifikatøkosystemet er en del av din sikkerhetsleverandørkjede. Strengere krav oppover betyr et sikrere fundament for alle nedover.

Veien videre

Mozillas kunngjøring representerer en modning av Web PKI-styringsmodellen. I stedet for å bare legge til tekniske krav, adresserer de menneskelige systemene – dokumentasjonen, revisjonen og ansvarliggjøringsstrukturene – som gjør teknisk sikkerhet meningsfull.

Vi i NameOcean mener dette fokuset på åpenhet kommer alle i webøkosystemet til gode. Enten du registrerer et domain, setter opp SSL-sertifikater, eller bygger neste generasjons webapplikasjoner, bidrar disse forbedringene i sertifikatinfrastrukturen til at «sikker»-merket faktisk betyr noe.

De effektive datoene (1. juli 2026 for policyendringer, 1. juli 2027 for DCR-krav) gir CAs tid til å tilpasse sine prosesser. For de fleste nettsideiere vil endringene være usynlige – bare nok et betrodd sertifikat som fungerer stillegående i bakgrunnen. Men bak det hengelåsikonet blir fundamentene sterkere.

Hold deg sikker der ute.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN