Problémy s čipovými kartami a podpisy po říjnové aktualizaci Windows 2025

14. 11. 2025 – Ing. Lukáš Musil, AIS

Řešení problémů pro uživatele čipových karet, kteří nemohou podepsat dekurs nebo vyúčtovat na VZP. Zatím jsme zaznamenali pouze 4 případy. Chyba, která se objevuje v AIS – Zadán neplatný typ poskytovatele.

Informace pro uživatele, doporučení a plán trvalého řešení

Od říjnové bezpečnostní aktualizace Windows 2025 se u pár uživatelů začaly objevovat rozsáhlé potíže s elektronickým podepisováním dokumentů pomocí čipových karet a certifikátů. Problémy hlásí uživatelé pracující s kvalifikovaným certifikátem, komerčním (public) certifikátem, čipovými kartami I.CA, možná se bude týkat i PostSignum, případně dalších poskytovatelů.

Jde o celosvětově potvrzený problém způsobený změnou zabezpečení v systému Windows. Tato změna ovlivňuje zejména podpis dokumentů, odesílání dat a procesy, které využívají elektronický podpis – včetně podepisování dekursů a VZP vyúčtování.

Microsoft tuto chybu oficiálně zveřejnil. Týká se:

Windows 10
Windows 11
Windows Server
aplikací využívajících čipové karty pro RSA klíče
certifikátů PostSignum a I.CA uložených na čipové kartě
32bitových aplikací využívajících CSP

Jaké problémy se mohou projevit

Uživatelé hlásí zejména:

nemožnost vytvořit elektronický podpis (např. při podpisu dekursu nebo jiné dokumentace),
nefunkční odeslání VZP vyúčtování,
pád aplikace při práci s čipovou kartou,
čipová karta se nezobrazí jako CSP,
nefunkční kvalifikovaný certifikát nebo komerční certifikát,
chybová hlášení typu:
- „invalid provider type specified“
- „CryptAcquireCertificatePrivateKey error“

Nejčastější kombinace, kde se problém projevuje:

Windows 10
říjnová bezpečnostní aktualizace 2025
čipová karta / certifikát od I.CA nebo PostSignum

Proč k problému došlo (vysvětlení Microsoftu)

Microsoft v říjnu 2025 aktivoval novou ochranu proti zranitelnosti CVE-2024-30098.
Výsledek:

Windows automaticky přechází z původní technologie CSP na novou KSP (Key Storage Provider),
mění se způsob práce s RSA klíči na čipových kartách,
aktivuje se registr DisableCapiOverrideForRSA = 1,
některé aplikace, které používají starší technologii, přestávají fungovat.

To způsobilo nefunkčnost podpisů, hlášení a vyúčtování u kvalifikovaných i komerčních certifikátů.

Dočasné řešení (funguje do dubna 2026)

Microsoft umožňuje vypnout novou bezpečnostní funkci úpravou registru.
Návod aplikujte jen v případě, že víte co děláte nebo zavolejte IT specialistu! Můžeme opravu aplikovat i my, ale bez záruky.

Postup:

Otevřít regedit
Jít na:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
Najít položku DisableCapiOverrideForRSA
Nastavit na 0
Restartovat PC

Pozor: Úprava registru může způsobit chyby systému.
Doporučujeme provést pouze se znalostí věci nebo přes Váš IT servis.

Tato možnost bude dostupná jen do dubna 2026, poté ji Microsoft odstraní.

Trvalé řešení (Microsoft požaduje úpravu aplikací)

Microsoft uvádí, že vývojáři musí aktualizovat všechny aplikace, které pracují s podpisy přes čipové karty, aby používaly nové Key Storage API.

Týká se všech aplikací, které podepisují:

dekursy,
zdravotnickou dokumentaci,
účetní dokumenty,
XML komunikaci s pojišťovnami,
VZP vyúčtování,
dokumenty podepisované pomocí PostSignum, I.CA nebo jiných autorit.

Naše kroky a doporučení uživatelům

Stejné potíže hlásí poskytovatelé certifikátů i další subjekty.
Pracujeme na úpravě našeho software tak, aby odpovídal novým požadavkům Windows.
Aktualizace bude dostupná nejpozději do dubna 2026, tedy před definitivním odstraněním dočasné podpory.

Do té doby nabízíme uživatelům s těmito problémy:

ruční odeslání VZP vyúčtování zdarma (stačí zavolat na technickou podporu),
možnost pracovat s certifikáty uloženými přímo ve Windows (ty nejsou ovlivněny),
pomoc s diagnostikou nebo aplikací dočasné opravy registru (bez záruky).

Shrnutí

Jde o známý problém způsobený říjnovou aktualizací Windows 2025.
Nejčastěji postihuje uživatele I.CA, PostSignum, kvalifikovaných certifikátů a elektronického podpisu dekursů či vyúčtování pro VZP.
Microsoft poskytuje dočasné řešení, které bude funkční jen do dubna 2026.
Pracujeme na trvalé softwarové úpravě, která novým požadavkům Windows vyhoví.

Problémy s podpisy certifikáty na čipové kartě – VZP vyúčtování a podpis dekursu

Štítky:AIS certifikát na kartě čipová karta Dekurs komerční certifikát kvalifikovaný certifikát postsignum public certifikát vyúčtování I.CA

Cookie	Délka	Popis
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172951870_2	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Délka	Popis
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.