V dubnu 2025 schválilo CA/Browser Forum návrh SC-081v3, který zásadně mění správu SSL/TLS certifikátů. Do roku 2029 se maximální platnost veřejných certifikátů zkrátí na 47 dní. Tato změna má zvýšit bezpečnost a podpořit automatizaci správy certifikátů.
CA/Browser forum je dobrovolné sdružení certifikačních autorit, tvůrců prohlížečů a operačních systémů, které definuje pravidla v oblasti internetové bezpečnosti týkající se https komunikace a vydávání certifikátů.
Harmonogram změn platnosti SSL/TLS certifikátů
- Od 15. března 2026: Maximální platnost 200 dní.
- Od 15. března 2027: Maximální platnost 100 dní.
- Od 15. března 2029: Maximální platnost 47 dní.
Zkrácení platnosti certifikátů bude probíhat postupně, aby se organizace měly čas přizpůsobit.
Krátká platnost certifikátů znamená častější obnovování, což zvyšuje potřebu automatizace. Ruční správa certifikátů se stane neudržitelnou, zejména pro organizace s velkým počtem certifikátů.
Důležitá informace!
Všechny SSL certifikáty vydané na 398 dnů (příp. 1 rok) před 15. březnem 2026 budou i po tomto datu dále platné. Pokud budete mít víceletou objednávku, bude dobré zvážit tzv. REISSUE certifikátu před tímto datem, aby se využila co nejdelší doba platnosti.
Proč dochází ke změnám?
Zkracování platnosti SSL certifikátů má několik hlavních důvodů, které souvisejí především se zvýšením bezpečnosti a zjednodušením správy:
1. Zvýšení bezpečnosti
Krátkodobé certifikáty snižují riziko zneužití, pokud dojde k jejich kompromitaci. Pokud je certifikát vydán na rok a někdo jej zneužije, může mít přístup dlouhou dobu. Certifikát platný 47 dní však minimalizuje toto riziko.
Zkrácení platnosti znamená, že informace v certifikátu (např. o vlastníkovi domény) jsou častěji ověřovány, což omezuje zastaralé nebo neplatné údaje.
2. Podpora automatizace
Častější obnova certifikátů je v praxi možná jen pomocí automatizačních nástrojů (např. ACME protokol – používaný Let’s Encryptem).
Tím se snižuje počet lidských chyb, které jsou časté při manuální správě certifikátů.
3. Rychlejší reakce na změny a hrozby
Pokud se objeví nová zranitelnost nebo problém, krátkodobé certifikáty usnadňují hromadnou výměnu a omezení dopadů.
4. Lepší revokační model
Systémy pro odvolávání certifikátů (např. CRL, OCSP) jsou nedokonalé. S kratší dobou platnosti není potřeba spoléhat se na revokaci – certifikát brzy sám vyprší.
Organizace by měly začít plánovat implementaci automatizovaných nástrojů pro správu certifikátů. Například nástroje jako AutoInstall SSL pro Linux a Windows mohou výrazně usnadnit tento proces.