Od 15 marca 2026 roku zaczynają obowiązywać nowe zasady dotyczące maksymalnego okresu ważności certyfikatów SSL/TLS. Zmiana ta wprowadza istotne skrócenie czasu ich ważności – z dotychczasowych około 398 dni do maksymalnie 200 dni. To jednak dopiero pierwszy etap planowanych modyfikacji, które w kolejnych latach jeszcze bardziej skrócą cykl życia certyfikatów.
Nowe regulacje mają na celu zwiększenie bezpieczeństwa komunikacji internetowej oraz ograniczenie ryzyka związanego z kompromitacją kluczy kryptograficznych.
Jak zmieni się ważność certyfikatów SSL?
Zmiany będą wdrażane stopniowo, zgodnie z harmonogramem ustalonym przez branżę bezpieczeństwa internetowego:
- do 14 marca 2026 r. – maksymalna ważność certyfikatu: ok. 398 dni
- od 15 marca 2026 r. – maksymalna ważność: 200 dni
- od 15 marca 2027 r. – maksymalna ważność: 100 dni
- od 15 marca 2029 r. – maksymalna ważność: 47 dni
Oznacza to, że w ciągu kilku lat cykl życia certyfikatu zostanie skrócony nawet do około półtora miesiąca. Dla administratorów systemów i właścicieli stron internetowych będzie to oznaczało znacznie częstsze odnawianie certyfikatów.
Dlaczego skraca się okres ważności SSL?
Decyzja o skróceniu okresów ważności certyfikatów została podjęta przez organizację ustalającą standardy dla zaufanych certyfikatów w sieci. Celem zmian jest przede wszystkim poprawa bezpieczeństwa infrastruktury internetowej.
Krótszy czas życia certyfikatów niesie ze sobą kilka korzyści:
- mniejsze ryzyko wykorzystania skompromitowanego klucza prywatnego,
- szybsze wycofywanie błędnie wystawionych certyfikatów,
- częstsza weryfikacja domen i danych organizacji,
- większa aktualność infrastruktury kryptograficznej.
W praktyce oznacza to, że nawet w przypadku wycieku klucza lub nieprawidłowości w procesie wydania certyfikatu, jego potencjalne wykorzystanie przez osoby niepowołane będzie znacznie krótsze.
Co to oznacza dla administratorów i firm?
Największą konsekwencją zmian będzie konieczność częstszego odnawiania certyfikatów. Jeśli wcześniej proces ten odbywał się raz w roku, w najbliższych latach może być wymagany nawet kilka razy w roku, a docelowo – co kilkadziesiąt dni.
W praktyce oznacza to:
- większą liczbę operacji związanych z zarządzaniem certyfikatami,
- większe ryzyko wygaśnięcia certyfikatu przy ręcznej obsłudze,
- konieczność wdrożenia narzędzi automatyzujących proces odnawiania.
Automatyzacja stanie się standardem
Przy tak krótkich okresach ważności ręczne zarządzanie certyfikatami stanie się w praktyce bardzo trudne. Automatyzacja procesu wystawiania i odnawiania certyfikatów będzie kluczowa dla utrzymania ciągłości działania usług internetowych.
Wdrażanie automatycznych mechanizmów pozwala:
- eliminować ryzyko wygasłych certyfikatów,
- eliminować ryzyko wygasłych certyfikatów,
- zminimalizować błędy ludzkie.
Walidacja domeny również zostanie skrócona
Wraz ze skróceniem ważności certyfikatów zmieni się także sposób ich weryfikacji. Każdy certyfikat SSL/TLS może zostać wydany dopiero po potwierdzeniu, że osoba zamawiająca ma kontrolę nad daną domeną. Ten proces nazywany jest walidacją domeny (Domain Control Validation – DCV).
Najczęściej polega on na wykonaniu jednego z prostych działań potwierdzających dostęp do domeny, np.:
- dodaniu specjalnego rekordu w DNS,
- umieszczeniu pliku w określonej lokalizacji na serwerze,
- potwierdzeniu wiadomości e-mail wysłanej na adres administracyjny domeny.
Krótszy czas ważności walidacji
Dotychczas potwierdzenie kontroli nad domeną mogło być wykorzystywane przez długi czas przy kolejnych odnowieniach certyfikatu. Wraz z nowymi regulacjami również ten okres zostanie skrócony.
Harmonogram zmian przewiduje, że:
- w 2026 roku maksymalna ważność certyfikatu wyniesie 200 dni,
- w 2027 roku zostanie skrócona do 100 dni,
- w 2029 roku certyfikaty będą ważne maksymalnie 47 dni, a dane walidacyjne domeny będzie można ponownie wykorzystać tylko przez 10 dni.
Oznacza to, że przy wystawianiu nowych certyfikatów w wielu przypadkach konieczne będzie ponowne potwierdzenie kontroli nad domeną.
Dlaczego skraca się również walidację?
Celem zmian jest zwiększenie bezpieczeństwa infrastruktury internetowej. Krótszy okres ważności zarówno certyfikatów, jak i samej walidacji oznacza, że dane dotyczące domeny będą weryfikowane częściej. Dzięki temu zmniejsza się ryzyko sytuacji, w której certyfikat zostanie wystawiony dla domeny, do której ktoś utracił dostęp lub która zmieniła właściciela.
