Dział Sprzedaży: +48 789 594 102
Napisz do nasLive Chat Baza Wiedzy Blog
Panel Klienta

Globalna zmiana: maksymalny okres ważności certyfikatów SSL/TLS skrócony do 47 dni

SSL
1 maja 2025  w Aktualności, Bezpieczeństwo

CA/Browser Forum (forum przeglądarek i urzędów certyfikacji) oficjalnie przegłosowało radykalne skrócenie maksymalnego okresu ważności publicznych certyfikatów SSL/TLS do zaledwie 47 dn​i. Ta decyzja oznacza ogólnoświatową zmianę polityki dla wszystkich głównych dostawców certyfikatów – od komercyjnych urzędów certyfikacji takich jak DigiCert, Sectigo, Entrust czy GlobalSign, po organizacje non-profit jak Let’s Encrypt. Inicjatywę skrócenia ważności certyfikatów zapoczątkowała firma Apple i poparli ją zarówno inni dostawcy przeglądarek (Google Chrome, Mozilla), jak i sami wystawcy certyfikatów (m.in. Sectigo). Głosowanie zakończone 11 kwietnia 2025 r. przyjęło tę propozycję, co otwiera nowy rozdział w zarządzaniu zaufaniem w internecie. W kolejnych latach maksymalna długość życia certyfikatu będzie stopniowo zmniejszana, aby w marcu 2029 r. osiągnąć docelowe 47 dni. W niniejszym artykule omawiamy przyczyny tej zmiany, jej zakres oraz wpływ na infrastrukturę IT, praktyki DevOps, zarządzanie certyfikatami w przedsiębiorstwach i doświadczenia użytkowników końcowych. Przedstawiamy też wyzwania oraz szanse, jakie niesie ze sobą era certyfikatów o ultrakrótkiej ważności.

Tło i ewolucja okresów ważności certyfikatów SSL/TLS

Zmiana do maksymalnie 47 dni ważności jest zwieńczeniem wieloletniego trendu skracania żywotności certyfikatów TLS. Jeszcze dekadę temu standardem były certyfikaty ważne nawet 5 lat, co stopniowo ograniczono do 3 lat, następnie 2 lat, a ostatecznie do ~13 miesięcy (398 dni​). Przełomowym momentem była decyzja Apple w 2020 roku, kiedy to jednostronnie wymusiła ona w swoim ekosystemie skrócenie maksymalnej ważności publicznych certyfikatów do 398 dni. W ślad za tym branża zaczęła rozważać jeszcze krótsze okresy – na początku 2022 r. obniżono ważność certyfikatów S/MIME, a w marcu 2023 r. Google przedstawił inicjatywę “Moving Forward, Together”, proponując przejście na certyfikaty ważne 90 dni. Argumentowano, że “bardziej terminowa weryfikacja domeny lepiej chroni właścicieli domen, zmniejszając ryzyko polegania na nieaktualnych lub nieważnych informacjach, co mogłoby skutkować błędnym wydaniem certyfikatu​.

Po roku debat na forum CA/Browser firma Apple poszła jeszcze dalej, wnosząc formalny wniosek o stopniowe skrócenie ważności aż do 47 dni. W kwietniu 2025 r. propozycja Apple zdobyła poparcie zarówno producentów przeglądarek, jak i największych urzędów certyfikacji (Google, Mozilla, Sectigo i innych. Co istotne, Google początkowo promował limit 90-dniowy, jednak natychmiast poparł propozycję 47-dniową Apple w trakcie głosowania. Ostateczne przyjęcie nowej regulacji oznacza, że automatyczna obsługa certyfikatów stała się koniecznością (jak podkreślono we wniosku: „skracając okresy ważności od lat, Forum dawało do zrozumienia, że automatyzacja jest w zasadzie obowiązkowa dla skutecznego zarządzania cyklem życia certyfikatów​). Poniżej przedstawiamy harmonogram wdrożenia tej zmiany:

Harmonogram skracania maksymalnej ważności certyfikatów TLS (przyjęty w ramach CA/B Foru​m):

  • Do 15 marca 2026: maksymalna ważność nowo wydanego certyfikatu pozostaje bez zmian – 398 dni (ok. 13 miesięcy).
  • Od 15 marca 2026: maksymalna ważność certyfikatu wyniesie 200 dni.
  • Od 15 marca 2027: maksymalna ważność certyfikatu zostanie skrócona do 100 dni.
  • Od 15 marca 2029: maksymalna ważność certyfikatu wyniesie docelowe 47 dni.

Zmiany te dotyczą wszystkich publicznie zaufanych certyfikatów SSL/TLS używanych przez serwisy internetowe. Równolegle skracane są dopuszczalne okresy ponownego wykorzystania wyników walidacji domeny przez CA – z obecnych 398 dni do 10 dni w 2029 rok​. Oznacza to, że urzędy certyfikacji będą musiały znacznie częściej weryfikować, czy wnioskodawca nadal kontroluje daną domenę (nawet jeśli certyfikat jest automatycznie odnawiany). Dla certyfikatów typu OV/EV ograniczono również okres ważności weryfikacji danych firmowych (tzw. Subject Identity Information) z 825 dni do 398 dni – co oznacza coroczną weryfikację organizacji dla certyfikatów EV/OV. Podsumowując, do 2029 r. zarówno same certyfikaty, jak i informacje użyte do ich wydania, będą odświeżane niemal co miesiąc.

Przyczyny skrócenia ważności certyfikatów

Bezpieczeństwo i zaufanie w ekosystemie TLS

Głównym powodem drastycznego skrócenia okresu ważności certyfikatów jest chęć poprawy bezpieczeństwa oraz integralności mechanizmu zaufania opartego na certyfikatach. Im dłużej certyfikat jest ważny, tym większe ryzyko, że informacje w nim zawarte staną się nieaktualne lub mniej wiarygodne. Certyfikat SSL/TLS służy przeglądarce do zweryfikowania tożsamości serwera – a wiele może się zmienić nawet w ciągu roku: firmy mogą zakończyć działalność lub przejść fuzje, domeny mogą zostać sprzedane, dane kontaktowe ulec zmianie. Jak ujęto w uzasadnieniu Apple, „informacje w certyfikatach stają się z czasem coraz mniej godne zaufania”, a problem ten można rozwiązać tylko poprzez częstsze ponowne ich uwierzytelnienie. Krótszy okres ważności wymusza częstsze odnawianie certyfikatów, a tym samym regularne potwierdzanie, że domena wciąż należy do tego samego podmiotu i że dane organizacji (dla certyfikatów OV/EV) są aktualne.

Drugim kluczowym aspektem jest ograniczenie skutków kompromitacji kluczy lub błędów w wydawaniu certyfikatów. Jeśli prywatny klucz certyfikatu zostanie skradziony, lub gdy certyfikat zostanie omyłkowo wydany nieuprawnionemu podmiotowi, krótka ważność istotnie ogranicza okno czasu, w którym taki certyfikat mógłby być nadużywany. Przy 47-dniowej ważności nawet bez formalnego unieważnienia problematyczny certyfikat szybko sam wygaśnie. Ma to ogromne znaczenie, ponieważ obecny system unieważniania certyfikatów (CRL/OCSP) bywa zawodny – przeglądarki często ignorują status unieważnienia ze względu na opóźnienia lub błędy tych mechanizmów. W praktyce, nawet jeśli certyfikat zostanie unieważniony przez CA, przeglądarka i tak może go akceptować, dopóki formalnie nie wygaśnie. Skrócenie żywotności certyfikatów łagodzi ten problem: potencjalnie skompromitowany lub błędnie wystawiony certyfikat bardzo szybko przestanie być honorowany, nawet jeśli lista CRL/OCSP go nie wychwyci. (W 2023 r. Forum CA/B poszło już w tym kierunku, zatwierdzając tzw. certyfikaty krótkotrwałe ważne ≤7 dni, które w ogóle nie wymagają obsługi CRL/OCSP – ich krótki żywot sam w sobie wystarcza jako zabezpieczenie). Krótko mówiąc, krótsza ważność certyfikatów ogranicza ekspozycję na ataki w razie ich kompromitacji i podnosi ogólny poziom bezpieczeństwa usług internetowych.

Automatyzacja i eliminacja błędów ludzkich

Drugim fundamentalnym powodem zmian jest konieczność automatyzacji procesu wydawania i odnawiania certyfikatów. Ręczne zarządzanie certyfikatami było wykonalne przy cyklu odnawiania raz na rok czy dwa lata, ale staje się praktycznie niemożliwe przy konieczności odnawiania co kilka tygodni. CA/Browser Forum od lat wysyłało sygnał – poprzez sukcesywne skracanie dopuszczalnej ważności – że branża *musi przejść na automatyczne zarządzanie cyklem życia certyfikatów​. Apple wprost zaznaczył w swojej propozycji, że bez automatyzacji organizacje nie poradzą sobie z tak krótkimi cyklami odnowień. Już przy 100-dniowych certyfikatach (wejście w życie w 2027) manualne procedury staną się nie do utrzymania, a kontynuowanie ręcznego odnawiania grozi masowymi wygaśnięciami usług. Krótko mówiąc, automatyzacja przechodzi z roli „przydatnej opcji” do roli absolutnej konieczności dla zapewnienia ciągłości działania infrastruktury.

Presja ze strony liderów branży również przyspieszyła tę zmianę. Apple i Google od pewnego czasu publicznie popierały skrócenie ważności certyfikatów, wskazując na związane z tym korzyści bezpieczeństwa i niezawodności. Google w 2023 r. sygnalizował plany 90-dniowego limitu, a Apple zaproponował jeszcze krótszy okres – co kluczowe, uzyskując dla tej propozycji wsparcie zarówno ze strony pozostałych dostawców przeglądarek (Google, Mozilla), jak i dużych urzędów certyfikacji (np. Sectigo). W rezultacie branża wypracowała konsensus, że pełna automatyzacja plus krótsze certyfikaty to właściwy kierunek, co przesądziło o przyjęciu opisywanej zmiany. Warto dodać, że skrócenie cyklu życia certyfikatów sprzyja również szybszemu reagowaniu na nowe zagrożenia technologiczne – np. w obliczu nadchodzącej kryptografii post-kwantowej krótsze certyfikaty ułatwią częstsze przełączanie się na nowe algorytmy szyfrowania w razie odkrycia słabości obecnych.

Wpływ na infrastrukturę IT

Tak znaczące skrócenie okresu ważności certyfikatów będzie odczuwalne w codziennym zarządzaniu infrastrukturą IT. Przede wszystkim, administratorzy będą musieli znacznie częściej instalować i wdrażać nowe certyfikaty na serwerach, urządzeniach i usługach. Zamiast dotychczasowego cyklu rocznego, certyfikat odnawiany co 47 dni wymaga odnowienia około 7–8 razy w roku (dla bezpieczeństwa zwykle odnowienie następuje kilka dni wcześniej). Dla organizacji oznacza to ponad ośmiokrotny wzrost liczby operacji związanych z obsługą certyfikatów w porównaniu do stanu obecnego. Już przejście na cykl 90-dniowy szacowano na wymóg odnawiania certyfikatów co ~60 dni (4–6 razy w roku, zaś przy 47 dniach mówimy o konieczności wykonywania tych zadań co ~40–45 dni. W efekcie, zespoły odpowiedzialne za infrastrukturę, serwery i usługi WWW muszą przygotować się na ciągłe zarządzanie certyfikatami, co znacząco zwiększy ich obciążenie operacyjne. Jeżeli proces ten nie będzie w pełni zautomatyzowany i sprawnie wkomponowany w cykliczne zadania administracyjne, wzrasta ryzyko błędów i awarii – np. przegapienia terminu odnowienia któregoś certyfikatu, co skutkowałoby jego wygaśnięciem i przerwą w działaniu usług.

Aby sprostać tym wyzwaniom, infrastruktura IT będzie musiała zostać wsparta odpowiednimi narzędziami i procesami. Konieczne stanie się wdrożenie systemów automatycznego odnawiania i dystrybucji certyfikatów. Przykładowo, serwery WWW i urządzenia sieciowe powinny korzystać z mechanizmów pozwalających na automatyczne zaimportowanie nowo wydanego certyfikatu i klucza prywatnego oraz ich aktywację bez przestojów usługi. W praktyce wiele współczesnych serwerów (np. Nginx, Apache, serwery aplikacyjne) umożliwia przeładowanie certyfikatów w locie – kluczowe jest jednak zbudowanie nad tym orkiestracji, która co kilkadziesiąt dni pobierze nowy certyfikat z CA i zaktualizuje go we wszystkich wymaganych miejscach. W środowiskach konteneryzacji i orchestratorów (Kubernetes) coraz powszechniej stosuje się operatory lub kontrolery (np. cert-manager), które integrują się z protokołem ACME i potrafią automatycznie uzyskać certyfikat od zaufanego CA oraz zaaplikować go do odpowiednich zasobów. Organizacje, które dotąd polegały na ręcznym wgrywaniu certyfikatów podczas rzadkich okien serwisowych, będą musiały zrewidować te praktyki. Częstotliwość zmian (co kilka tygodni) wymusza podejście “zerowego przestoju” – automatyczne odnowienie certyfikatu powinno odbywać się w tle, zanim poprzedni utraci ważność, a użytkownicy nie powinni tego w ogóle odczuć.

Wpływ na procesy DevOps i CI/CD

Procesy DevOps oraz CI/CD (Continuous Integration/Continuous Delivery) również ulegną dostosowaniu do nowego, szybszego cyklu życia certyfikatów. Wiele organizacji będzie musiało uwzględnić zarządzanie certyfikatami jako stały element pipeline’u wdrożeniowego. Przykładowo, podczas automatycznego wdrażania nowej wersji aplikacji czy infrastruktury, pipeline CI/CD może wywoływać API urzędu certyfikacji (np. protokół ACME) w celu uzyskania lub zaktualizowania certyfikatów dla wdrażanych usług. Infrastruktura jako kod powinna obejmować również definicje certyfikatów, a systemy zarządzania konfiguracją – zapewniać, że przed wygaśnięciem certyfikatu nastąpi jego automatyczne odnowienie i dystrybucja. DevOps będą musieli zatem ściślej zintegrować narzędzia do obsługi certyfikatów z istniejącymi platformami automatyzacji (narzędzia orkiestracji, systemy CI, rozwiązania cloud).

Kolejnym aspektem jest monitorowanie i testowanie w pipeline’ach. Przy tak częstych odnowieniach, monitoring powinien automatycznie śledzić daty ważności wszystkich certyfikatów w środowisku i alertować w razie problemów z odnowieniem. Dobrą praktyką stanie się regularne testowanie mechanizmów odnowieniowych (np. w środowisku staging) oraz stosowanie canary deployment dla nowych certyfikatów – tak, aby przed produkcyjnym wdrożeniem upewnić się, że nowy certyfikat został poprawnie odebrany przez wszystkie komponenty systemu. Procesy CI/CD mogą również uwzględniać testy bezpieczeństwa sprawdzające, czy żadne komponenty nie używają przeterminowanych certyfikatów.

Ogólnie, zmianę tę można postrzegać jako część szerszego trendu “Everything as Code” w DevOps – certyfikaty stają się dynamicznym, regularnie odnawianym zasobem, którym trzeba zarządzać automatycznie podobnie jak kodem czy konfiguracją. Organizacje, które wcześnie zaadaptowały automatyczne odnawianie, będą w uprzywilejowanej pozycji. Dla innych może to być bodziec do modernizacji pipeline’ów. Standard ACME zyskuje na znaczeniu jako uniwersalny interfejs do automatycznej obsługi certyfikatów – wiele narzędzi DevOps już go wspiera lub wprowadza takie wsparcie, aby ułatwić integrację procesu odnawiania certyfikatów z ciągłym cyklem dostarczania oprogramowania.

Zarządzanie certyfikatami w dużych organizacjach

W środowiskach enterprise, posiadających setki czy tysiące certyfikatów, wprowadzenie 47-dniowego cyklu ważności będzie szczególnie odczuwalne. Tradycyjne podejście, w którym każda jednostka biznesowa zamawia certyfikat ręcznie, a zespół IT instaluje go i aktualizuje raz na rok, absolutnie się nie skaluje w realiach comiesięcznych odnowień. Duże organizacje będą musiały zainwestować w scentralizowane systemy zarządzania certyfikatami (Certificate Management or CLM – Certificate Lifecycle Management), które umożliwią śledzenie wszystkich certyfikatów w firmie, automatyczne odnawianie ich przed wygaśnięciem oraz dystrybucję do odpowiednich systemów. W praktyce wiele przedsiębiorstw zwróci się ku rozwiązaniom takim jak platformy Venafi, DigiCert CertCentral, DigiCert One, Sectigo CLM, GlobalSign Atlas czy inne, bądź wdroży otwarte narzędzia zintegrowane z własną infrastrukturą (np. wykorzystujące ACME i wewnętrzne skrypty). Kluczowe jest posiadanie pełnego inwentarza certyfikatów w organizacji i mechanizmów alertowania, aby żaden certyfikat (np. należący do rzadziej aktualizowanego systemu) nie został pominięty i nie wygasł niepostrzeżenie.

Znacząco wzrośnie rola standaryzacji procesów związanych z certyfikatami w firmie. Wiele korporacji już teraz prowadzi politykę “bez certyfikatów niezarządzanych centralnie” – zmiana ta wymusi rozszerzenie takich polityk. Automatyzacja odnawiania będzie musiała objąć zarówno certyfikaty domen publicznych, jak i ewentualne certyfikaty wewnętrzne używane w sieciach korporacyjnych (choć te nie podlegają regulacjom CA/B Forum, trend automatyzacji i tak je obejmuje). Duże przedsiębiorstwa mogą też rozważyć zwiększone wykorzystanie certyfikatów wildcard lub multidomenowych (multi-domain), aby zmniejszyć łączną liczbę certyfikatów podlegających odnowieniu – choć nie zmienia to częstotliwości, to upraszcza zarządzanie (jeden certyfikat może zabezpieczyć wiele usług).

Warto zauważyć, że skrócenie ważności certyfikatów nie powinno znacząco zwiększyć kosztów finansowych dla przedsiębiorstw. Większość dostawców certyfikatów już dawno przeszła na model abonamentowy (np. subskrypcja roczna lub wieloletnia), w ramach którego klient może odnawiać lub ponownie wystawiać certyfikat dowolną liczbę razy w opłaconym okresie. Oznacza to, że zamiast płacić za każdy certyfikat z osobna (co przy 8-krotnym wzroście liczby wystawień byłoby niebotycznie drogie), firma wykupuje np. roczny certyfikat, który po prostu jest częściej odnawiany. CAs deklarują, że przejście na 100-dniowe i krótsze certyfikaty nie spowoduje zwiększenia opłat – opłata roczna pozostaje taka sama, a certyfikat można odnawiać wielokrotnie w jej ramach. Oczywiście, firmy muszą zainwestować w same systemy automatyzacji i integracji (co wiąże się z nakładami na oprogramowanie, wdrożenie i szkolenia), jednak długofalowo automatyzacja ta zaowocuje mniejszą liczbą awarii i incydentów, które potrafią wygenerować dużo większe koszty ukryte.

Wpływ na użytkowników końcowych

Dla przeciętnego użytkownika korzystającego z usług internetowych zmiana ta będzie niemal niezauważalna, o ile dostawcy usług poprawnie dostosują się do nowych wymogów. Krótsza ważność certyfikatów nie wpływa na sposób nawiązywania szyfrowanego połączenia – przeglądarka nadal będzie wyświetlać kłódkę TLS przy adresie strony, a sam mechanizm szyfrowania pozostaje taki sam. Użytkownik może najwyżej zauważyć, że daty ważności certyfikatów (widoczne po kliknięciu w kłódkę i szczegóły certyfikatu) są bliższe bieżącej daty, ale ma to znaczenie czysto informacyjne.

Jeśli wszystko przebiegnie zgodnie z założeniami, użytkownicy końcowi odniosą pośrednie korzyści z tej zmiany. Przede wszystkim, wzrośnie ogólny poziom bezpieczeństwa – zmniejszy się szansa, że napotkają oni na stronie ważny (tj. niewygasły) certyfikat, który w rzeczywistości został skompromitowany lub zawiera nieaktualne dane podmiotu. Krótki cykl życia certyfikatów oznacza też, że administratorzy serwisów siłą rzeczy będą musieli wyeliminować zaniedbania w tym obszarze, co powinno przełożyć się na mniej incydentów wygaśnięcia certyfikatów skutkujących niedostępnością usług. Głośne przypadki, gdzie usługi dużych firm stały się nagle niedostępne dla użytkowników z powodu przegapionego terminu odnowienia certyfikatu, powinny odejść do przeszłości wraz z powszechną automatyzacją. Z punktu widzenia użytkownika końcowego rezultat powinien być taki, że usługi online będą bardziej niezawodne i odporne na pewną klasę błędów operacyjnych (zapomniane odnowienie certyfikatu).

Oczywiście istnieje ryzyko przejściowe – jeśli niektórzy dostawcy usług zaniedbają wdrożenie automatyzacji i skrócenie ważności ich zaskoczy, użytkownicy mogą doświadczyć przejściowo więcej komunikatów o niezaufanym lub wygasłym certyfikacie. Jednak presja przeglądarek (które ostatecznie mogą blokować certyfikaty dłuższe niż dozwolone) oraz obawa przed utratą klientów raczej zmobilizuje wszystkich poważnych graczy do terminowego dostosowania się. W dłuższej perspektywie zmiana ta odbywa się w tle funkcjonowania Internetu – użytkownicy zobaczą przede wszystkim pozytywne efekty w postaci bezpieczniejszych i stabilniejszych połączeń.

Wyzwania operacyjne i dane liczbowe

Tak duża zmiana w ekosystemie TLS wiąże się z pewnymi wyzwaniami operacyjnymi oraz mierzalnymi skutkami. Przede wszystkim, drastycznie wzrośnie liczba żądań wystawienia/odnowienia certyfikatów obsługiwanych przez urzędy certyfikacji. Zamiast odnawiać certyfikat raz na rok, właściciel strony będzie musiał robić to ~8 razy w roku. Oznacza to nawet ośmiokrotnie więcej transakcji między klientami a infrastrukturą CA w skali globalnej. Już dziś szacuje się, że 60–70% certyfikatów w sieci ma ważność ≤90 dni – jest to efekt ogromnej popularności automatycznych usług typu Let’s Encrypt i skracania ważności przez niektórych dostawców. Mimo to, wprowadzenie limitu 47 dni spowoduje, że każdy certyfikat (także te, które dotąd były roczne) stanie się krótkożyciowy, więc globalna liczba cykli odnowienia wzrośnie wielokrotnie. Możemy spodziewać się, że roczna liczba wystawianych publicznych certyfikatów TLS pójdzie w setki milionów, a nawet miliardy. Dla porównania, Let’s Encrypt – największy wystawca darmowych certyfikatów 90-dniowych – już kilka lat temu wydawał setki milionów certyfikatów rocznie, co wskazuje, że infrastruktura może skalować się w górę. Niemniej, urzędy certyfikacji komercyjnych będą musiały zoptymalizować swoje systemy, aby obsłużyć lawinowo rosnącą liczbę żądań (w większości z wykorzystaniem API/ACME, a więc bez interakcji użytkownika).

Zwiększony ruch związany z odnawianiem certyfikatów może mieć pewien wpływ na obciążenie sieci i usług CA. Protokół ACME jest dość lekki (typowe żądanie obejmuje zgłoszenie, walidację domeny i pobranie certyfikatu), ale przy globalnej skali nawet te kilkadziesiąt kB danych mnożone przez setki milionów operacji stanowi pewne wyzwanie. Utrzymanie wysokiej dostępności usług CA staje się krytyczne – krótki okres ważności oznacza, że nawet krótkotrwała awaria po stronie dostawcy certyfikatów może doprowadzić do wygaśnięcia wielu certyfikatów, zanim zdążą się odnowić. Dostawcy będą zatem inwestować w redundancję i skalowalność swoich usług, aby zagwarantować bliskie 100% dostępności. Być może pojawią się rozwiązania typu failover ACME, gdzie w razie niedostępności głównego CA automatyczne narzędzia spróbują odnowić certyfikat u innego dostawcy, by zapobiec przerwom w zabezpieczeniu (choć to rodzi kwestie zaufania i zgodności, więc będzie nietrywialne).

Innym aspektem jest zwiększona liczba wpisów w publicznych logach CT (Certificate Transparency) – każdy nowy certyfikat musi być zarejestrowany, więc logi będą puchnąć szybciej. Na szczęście system CT zaprojektowano z myślą o dużej skali, a skrócenie ważności certyfikatów było rozważane od dawna, więc operatorzy logów powinni być na to gotowi.

Podsumowując, wyzwania operacyjne są niemałe: lawinowy wzrost wolumenu operacji, konieczność niezawodnej automatyzacji i utrzymania wydajnej infrastruktury CA. Jednak większość dużych urzędów certyfikacji już od pewnego czasu przygotowuje się na ten scenariusz – wszystkie główne CA wdrożyły obsługę automatycznych protokołów i API, a wiele przedsiębiorstw rozpoczęło dostosowania zanim zmiana stała się oficjalnym wymogiem. Ci, którzy jeszcze tego nie zrobili, muszą pilnie nadrobić zaległości, gdyż czasu na ręczne zarządzanie certyfikatami definitywnie już nie ma.

Szanse i korzyści wynikające ze zmiany

Mimo początkowych trudności, skrócenie maksymalnej ważności certyfikatów do 47 dni przyniesie branży i użytkownikom wiele korzyści. Oto najważniejsze z nich:

  • Powszechna automatyzacja i standaryzacja (protokoły ACME) – Nowe reguły de facto wymuszają pełną automatyzację, co przyspieszy adaptację protokołów takich jak ACME (Automated Certificate Management Environment) do zarządzania certyfikatami. ACME, stworzony pierwotnie przez ISRG dla certyfikatów 90-dniowych Let’s Encrypt, stał się standardem automatycznego wystawiania certyfikatów. Teraz wejdzie on do powszechnego użytku we wszystkich organizacjach i zostanie zaadaptowany przez komercyjnych dostawców nawet dla certyfikatów OV/EV. Ujednolicone, zautomatyzowane podejście zmniejszy ryzyko błędów konfiguracyjnych i uprości audyty bezpieczeństwa. Branża zyska też impuls do rozwijania nowych narzędzi integrujących automatyzację certyfikatów z platformami chmurowymi, kontenerowymi i DevSecOps.
  • Większa odporność na kompromitację kluczy i nadużycia – Krótkoterminowe certyfikaty znacząco zwiększają bezpieczeństwo kryptograficzne. Nawet jeśli dojdzie do wycieku klucza prywatnego lub włamania do systemu, ważność takiego certyfikatu wygaśnie po kilkudziesięciu dniach, ograniczając czas, w którym atakujący mógłby się nim posłużyć. Ograniczone zaufanie czasowe utrudnia też nadużycia typu phishing z użyciem ważnych certyfikatów – oszust musiałby ciągle odnawiać kontrolę nad domeną i certyfikat, co zwiększa szansę wykrycia. Krótkie certyfikaty niejako “wymuszają” dobre praktyki bezpieczeństwa, więc cały ekosystem staje się bardziej odporny na incydenty.
  • Lepsze praktyki zarządzania cyklem życia certyfikatów – Wymóg częstego odnawiania sprawi, że organizacje wdrożą dojrzałe procesy zarządzania certyfikatami. Wszystkie certyfikaty będą monitorowane, automatycznie odnawiane i aktualizowane, co oznacza koniec ery zapomnianych, wygasłych certyfikatów powodujących awarie. Wiele firm przy okazji ujednolici polityki i centralizuje zarządzanie tożsamością maszyn. Automatyzacja cyklu życia przyniesie efektywność – gdy systemy odnowień wejdą w rutynę, administracja certyfikatami stanie się mniej pracochłonna niż dawniej (usunięty zostanie czynnik ludzki podatny na pomyłki). Co więcej, po wdrożeniu automatyki organizacje mogą zdecydować się wymieniać certyfikaty jeszcze częściej niż wymagane (np. co kilka dni), dalej zwiększając bezpieczeństwo – obserwacje pokazują, że po adopcji automatyzacji użytkownicy często dobrowolnie skracają cykl wymiany certyfikatów dla własnej korzyści.
  • Szybsza adaptacja do nowych technologii (np. kryptografia post-kwantowa) – Krótszy cykl życia ułatwia wprowadzanie zmian w algorytmach kryptograficznych i konfiguracji certyfikatów. W obliczu potencjalnego zagrożenia ze strony komputerów kwantowych, firmy będą mogły sprawnie i na szeroką skalę migrować na algorytmy post-kwantowe, gdy tylko zostaną one uznane za stabilne. Jeśli dany algorytm okaże się słaby, krótkie okresy ważności ograniczą skutki (certyfikaty szybko zostaną zastąpione nowymi, silniejszymi). Jak zauważają eksperci, krótsze certyfikaty sprzyjają zwinności w zakresie kryptografii – można częściej zmieniać klucze i certyfikaty, aby reagować na nieprzewidziane zagrożenia. W efekcie internet stanie się bardziej przyszłościowy i przygotowany na dynamiczne zmiany technologiczne.

Wnioski

Skrócenie maksymalnej ważności certyfikatów SSL/TLS do 47 dni to zmiana bezprecedensowa, która zwiastuje nową erę w zarządzaniu infrastrukturą kluczy publicznych. Motywacje stojące za nią – poprawa bezpieczeństwa, eliminacja zawodnych elementów ludzkich i przyspieszenie innowacji – są jasne i znajdują odzwierciedlenie w jednomyślnym poparciu ze strony przeglądarek i dostawców certyfikatów. Dla administratorów i zespołów IT nadchodzące lata będą okresem intensywnych przygotowań: automatyzacja procesów, aktualizacja narzędzi i edukacja personelu staną się priorytetami. Ci, którzy już dziś wdrożyli rozwiązania ACME lub inne systemy automatycznego odnawiania, wejdą w tę zmianę gładko; inni muszą szybko nadrobić dystans, aby uniknąć ryzyka przestojów. Ostatecznie jednak wszyscy uczestnicy ekosystemu – od wielkich korporacji po właścicieli małych witryn – powinni odczuć długofalowe korzyści. Internet będzie bezpieczniejszy dzięki świeższym, częściej weryfikowanym certyfikatom, a incydenty związane z wygasłymi certyfikatami czy przedawnionymi danymi staną się rzadkością. Krótkotrwałe certyfikaty to także katalizator dalszej automatyzacji i innowacji w dziedzinie zarządzania tożsamością i bezpieczeństwem. Można więc powiedzieć, że decyzja o skróceniu ważności do 47 dni, choć wymagająca, wpisuje się w ogólny kierunek upraszczania, automatyzowania i zwiększania zaufania do infrastruktury cyfrowej. Jest to znaczący krok naprzód, który w perspektywie uczyni korzystanie z sieci bardziej niezawodnym dla nas wszystkich.

Masz pytania związane z wprowadzeniem automatyzacji cyklu życia SSL? Skontaktuj się z naszym działem sprzedaży.

Add A Knowledge Base Question !

You will receive an email when your question will be answered.

+ = Verify Human or Spambot ?