Mozillas nya root store-policy – det här betyder det för din webbplats

Mozillas nya root store-policy – det här betyder det för din webbplats

Jul 09, 2026 ssl certificates web security pki mozilla certificate authorities https tls web hosting compliance dns security

Mozilla rustar upp webbens säkerhets infrastruktur

Den där lilla hänglåsikonen i webbläsarens adressfält. Du har sett den tusentals gånger utan att tänka så mycket på den. Men bakom den symbolen arbetar Mozilla's Root Store program med att hålla internet säkert. Nu kommer version 3.1 av deras policy, och visst – det låter kanske torrt och byråkratiskt. Men för dig som driver en sajt eller bygger webbapplikationer finns det faktiskt en hel del att hämta här.

Från teknik till förtroende

Tidigare uppdateringar har mest handlat om hur certifikat återkallas snabbare och hur processer automatiseras. Viktigt, javisst, men också ganska tekniskt. Version 3.1 tar ett steg tillbaka och ställer en mer grundläggande fråga: hur vet vi egentligen att certifikatsutfärdarna lever upp till sina löften?

Det här är en viktig skillnad. Web PKI – den offentliga nyckelinfrastrukturen – är ryggraden i webbsäkerheten. Men den är bara så pålitlig som dokumentationen, transparensen och möjligheten att verifiera den. Om du inte kan se hur en certifikatsutfärdare faktiskt jobbar, vem kan då granska dem ordentligt?

Skarpare dokumentationskrav

Från och med 1 juli 2026 ställs högre krav på certifikatsutfärdarnas dokumentation. De nya reglerna kräver att allt från certifikathanteringsprocesser till incidenthantering beskrivs på ett sätt som är:

  • Tydligt och avgränsat: Inget mer vagt språk eller obegränsade ansvarsfriskrivningar
  • Verifierbart: Dokumentationen måste vara så detaljerad att revisorer faktiskt kan kontrollera att det stämmer
  • Levande: Versionskontroll och tillgänglighet säkerställer att informationen hålls uppdaterad

Tänk dig skillnaden mellan ett avtal med finskrift som säger "vi ska göra vårt bästa" kontra ett som tydligt beskriver ansvarsfördelning, testprocedurer och mått på framgång. Det här handlar inte om att belasta certifikatsutfärdarna med pappersarbete – det handlar om att dokumentationen faktiskt ska betyda något.

För företag innebär det här trygghet i att din certifikatsleverantörs praktiska arbete stämmer överens med vad de påstår. Och färre obehagliga överraskningar när du ska redovisa din egen compliance.

DCR:er – att öppna motorhuven

Den kanske största nyheten är införandet av Detailed Controls Reports, DCR:er. Kravet träder i kraft för revisionsperioder som startar 1 juli 2027.

Traditionella WebTrust- och ETSI-revisioner ger värdefull verifiering, men de ger ofta begränsad inblick i de specifika kontroller och testprocedurer som ligger till grund för slutsatserna. DCR:er ändrar på det.

Nu måste certifikatsutfärdarna dokumentera:

  • Omfattning och gränser för sina system
  • Vilka specifika kontroller som implementerats
  • Hur revisorer testat och vad de kommit fram till
  • Eventuella avvikelser eller brister

Det är ungefär som skillnaden mellan ett bilbesiktningsintyg som säger "godkänd" och ett som visar mätvärden för bromsbelägg, däckdjup och vätskenivåer. Båda kan vara godkända, men det ena ger betydligt mer trygghet.

Varför bry sig?

Om du driver startup, sköter webbhosting eller bygger applikationer som hanterar känslig data – de här ändringarna berör dig.

Starkare grund att stå på: När din certifikatsutfärdare måste leverera detaljerad dokumentation får du bättre garantier för att säkerhetsfundamentet håller.

Snabbare felsökning: Bra dokumentation betyder kortare tid till rotorsaksanalys när något går fel. Och det gör det ibland, även hos de bästa.

Enklare compliance: Ska du visa upp säkerhetsarbete för kunder, partners eller myndigheter? En mer transparent certifikatsvärld stärker din totala compliance-position.

Mindre leverantörsrisk: Certifikatekosystemet är en del av din säkerhetskedja. Starkare krav uppströms ger en säkrare grund för alla nedströms.

Vad kommer härnäst?

Mozilla's uppdatering representerar ett mognadssteg för hur Web PKI styrs. Istället för att bara lägga till fler tekniska krav adresserar de de mänskliga systemen – dokumentation, revision och ansvarsstrukturer – som gör teknisk säkerhet meningsfull.

Vi på NameOcean tycker den här inriktningen på transparens gagnar hela webb-ekosystemet. Oavsett om du registrerar en domain, sätter upp SSL-certifikat eller bygger nästa generations webbapplikationer, så bidrar de här förbättringarna till att hänglåset faktiskt betyder något.

Datum att hålla koll på: 1 juli 2026 för policynamndringar, 1 juli 2027 för DCR-krav. För de flesta webbplatsägare kommer förändringarna vara osynliga – ännu ett betrott certifikat som arbetar tyst i bakgrunden. Men bakom det där hänglåset? Där byggs grunderna starkare.

Surf safe.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN