Pripravte sa na skrátenie platnosti certifikátov

Maximálna platnosť verejného TLS certifikátu sa bude v nasledovných rokoch postupne skracovať:

• Do 15. marca 2026 je maximálna platnosť TLS certifikátu 398 dní.
• Od 15. marca 2026 bude maximálna platnosť TLS certifikátu 200 dní.
• Od 15. marca 2027 bude maximálna platnosť TLS certifikátu 100 dní.
• Od 15. marca 2029 bude maximálna platnosť TLS certifikátu 47 dní.

Skracuje sa tiež maximálna doba, po ktorú je možné znovu použiť informácie z overenia domény a IP adresy:

• Do 15. marca 2026 je maximálna doba znovupoužitia overovacích údajov 398 dní.
• Od 15. marca 2026 je maximálna doba znovupoužitia overovacích údajov 200 dní.
• Od 15. marca 2027 je maximálna doba znovupoužitia overovacích údajov 100 dní.
• Od 15. marca 2029 je maximálna doba znovupoužitia overovacích údajov 10 dní.

Maximálna platnosť certifikátu určuje najvyšší počet dní, po ktoré je certifikát považovaný za platný. Aby mohla certifikačná autorita (CA) certifikát vydať, musí overiť, že žiadateľ skutočne ovláda doménu alebo IP adresu uvedenú v certifikáte.

Ak dnes máte certifikát a obnovujete ho raz ročne (podľa súčasných pravidiel), dochádza k opätovnému overeniu kontroly nad doménou pri každej obnove.

Čo ale v prípade, že potrebujete certifikát nahradiť skôr než pri obnove – napríklad ak dôjde ku kompromitácii súkromného kľúča? V takom prípade môže CA znovu použiť overenie vykonané pri poslednej obnove, a vy sa tak vyhnete nutnosti novej validácie. To je možné preto, že ešte neuplynula maximálna doba znovupoužitia overenia domény.

Základné požiadavky (tzv. Baseline Requirements, teda pravidlá CA/B Forum pre vydávanie certifikátov) vždy definovali obidva tieto časové limity, ale väčšinou boli nastavené na rovnakú hodnotu.

Zmena v poslednej fáze nových pravidiel – kedy maximálna platnosť certifikátu klesne na 47 dní, zatiaľ čo overenie domény bude možné znovu použiť iba počas 10 dní – má zabezpečiť, aby overovanie prebiehalo častejšie. CA/B Forum vychádza z predpokladu, že informácie o kontrole domény veľmi rýchlo zastarávajú.

Rovnaký harmonogram overovania domény bude platiť aj pre OV a EV certifikáty. Postupne bude potrebné vykonávať overenie domény v rovnakých intervaloch ako pri DV certifikátoch, teda každých 200 / 100 / 10 dní.

Ostatné údaje obsiahnuté v OV a EV certifikátoch (napríklad názov a adresa organizácie) však budú vyžadovať obnovu iba každých 398 dní. Zatiaľ čo overenie domény môže a malo by byť automatizované, tieto ďalšie informácie nemožno plne automatizovať.

Nie, nie celkom tak. Obmedzenie sa týka toho, aké certifikáty môžu certifikačné autority (CA) vydávať, nie toho, aké certifikáty môžu prehliadače prijímať.

Prehliadač iba overuje, či aktuálny dátum patrí do obdobia platnosti certifikátu.

Akonáhle jednotlivé zmeny pravidiel vstúpia do platnosti, certifikačné autority už nebudú môcť vydávať TLS certifikáty s platnosťou dlhšou ako 200 / 100 / 47 dní.

Certifikát s platnosťou 398 dní, ktorý bol vydaný pred účinnosťou zmeny, však zostane platný až do svojho vypršania. To isté platí aj pre certifikáty s platnosťou 200 dní v okamihu prechodu na limit 100 dní a pre certifikáty s platnosťou 100 dní pri prechode na limit 47 dní.

Nie, základné požiadavky sú záväzné iba pre verejné certifikačné autority.

Interný PKI funguje vnútri vašej siete alebo cloudu. Zahŕňa certifikačné autority, ale zásady, ktoré interné certifikačné autority uplatňujú — vrátane doby platnosti certifikátov — si stanovujete sami. Môže byť vhodné zvoliť krátku dobu platnosti aj pre interný PKI, ale nie je to povinné. Všetok software pre interný PKI môžete prevádzkovať sami, ale je to zložitá a chybám náchylná úloha. Spoločnosť DigiCert ponúka niekoľko rôznych riešení interného PKI pre podnikové, cloudové a výrobné scenáre.

Nie. Počas trvania objednávky (v rokoch) nie sú žiadne náklady navyše za obnovu ani nahradenie certifikátov. Počas platnosti objednávky si môžete urobiť neobmedzený počet reissue.

Nie, týkajú sa iba koncových (leaf) certifikátov vydaných sprostredkovateľskou certifikačnou autoritou. Neexistujú žiadne pravidlá od CA/B Fora ani iných štandardizačných orgánov, ktoré by obmedzovali dobu platnosti koreňových a sprostredkovateľských certifikátov, ale všeobecne sú uznávané osvedčené postupy a dodávatelia softvéru, ktorý certifikáty používajú, si stanovujú vlastné pravidlá pre svoje programy dôveryhodných koreňov, ktoré sa môžu výrazne líšiť.

Mozilla Root Store Policy (oddiel 7.4) uvádza, že Mozilla prestane dôverovať koreňovým certifikátom 15 rokov po vygenerovaní kľúča.

Pravidlá pre dobu platnosti v Chrome Root Program Policy, verzia 1.6 (15. februára 2025), sú zložitejšie. Neexistuje tu pevne stanovený limit platnosti, ale „akýkoľvek koreňový certifikát CA s odpovedajúcim kľúčovým materiálom vygenerovaným pred viac než 15 rokmi bude priebežne odstraňovaný z Chrome Root Store“. Koreňové certifikáty obsahujúce kľúče vytvorené pred 16. aprílom 2014 budú odstraňované podľa pevného ročného harmonogramu definovaného v Root Program Policy.

Microsoft Trusted Root Program uvádza, že „novovydané koreňové certifikačné autority (Root CA) musia mať platnosť minimálne osem rokov a maximálne 25 rokov odo dňa predloženia“. Rozdiel v pravidlách medzi politikou Microsoftu a ostatnými politikami vychádza z rozmanitosti aplikácií, ktoré Microsoft vo svojom PKI podporuje, čo je výrazne širšie spektrum než u ostatných prehliadačov.

Jedným zo zdravým rozumom daných osvedčených postupov je, že koreňový certifikát CA by nemal vypršať skôr ako ktorýkoľvek sprostredkovateľský certifikát CA, ktorý je naň naviazaný.

Zlé riadenie životného cyklu koreňových a sprostredkovateľských certifikátov CA môže mať závažné následky, ako sa nedávno ukázalo v prípade, keď zrejme zabudnutý sprostredkovateľský certifikát CA spoločnosti Google vypršal a zanechal mnoho zariadení Google Chromecast bez služby.

Pre bežné a jednoduché prípady, ako sú webové servery a verejné TLS certifikáty, je automatizácia pre zákazníkov CertCentral zdarma vďaka široko podporovaným štandardom Automated Certificate Management Environment (ACME) a ACME Renewal Information (ARI).

Samozrejme, nie všetky certifikáty sú verejné TLS a nie všetky technológie podporujú ACME. Pre tieto prípady poskytuje DigiCert Trust Lifecycle Manager pokročilé možnosti automatizácie a integrácie.

Automatizácia pomocou ACME však neznamená len zaškrtnúť jedno políčko. Je potrebné vykonať určité zmeny na zariadení alebo v aplikácii (typicky na webovom serveri), ktorá certifikát požaduje. Pre väčšinu administrátorov je ale tento proces nekomplikovaný a dobre zdokumentovaný.

ACME je Automated Certificate Management Environment.
ARI je ACME Renewal Information.

ACME je štandard podporovaný všetkými veľkými certifikačnými autoritami, pomocou ktorého klientský softvér pre certifikáty (typicky webový server) požiada certifikačnú autoritu o certifikát a nainštaluje ho na klienta. (V tomto scenári je webový server klientom.)

Klientský softvér musí ACME tiež podporovať. Podpora je rozšírená, ale nie univerzálna. Program ACME klienta obyčajne beží na klientskom systéme podľa harmonogramu pomocou Linux cron alebo Plánovača úloh vo Windows, ale existujú aj ďalšie riešenia, ktoré plánovanie integrujú do väčších produktov.

ARI je súvisiaci štandard, pomocou ktorého môže server odporučiť harmonogram, aby klient vedel, že má certifikát obnoviť skôr, než vyprší. Pri správnej konfigurácii môže ARI klientovi nariadiť obnovu aj v prípade, že bol certifikát zneplatnený (revokovaný), čím sa predíde výpadku.

Podľa nových pravidiel pre TLS certifikáty bude od 15. marca 2026 možné znovu použiť overenie informácií o identite subjektu (Subject Identity Information, SII) iba po dobu 398 dní, namiesto doterajších 825 dní.

To znamená, že hlavným dopadom na vaše OV a EV certifikáty bude nutnosť znovu overovať informácie o identite subjektu (SII) — teda informácie v certifikáte, ktoré identifikujú vašu organizáciu — ročne, nie raz za dva roky.

Podľa TLS Baseline Requirements to vyžaduje každoročný telefonický hovor so zástupcom spoločnosti DigiCert, a preto tento proces nemožno plne automatizovať.

Upozorňujeme, že OV a EV certifikáty tiež chránia doménové mená, takže ich doba platnosti sa bude meniť podľa rovnakého harmonogramu ako u DV certifikátov: na 200 dní v roku 2026, na 100 dní v roku 2027 a na 47 dní v roku 2029. Potreba automatizovať správu týchto certifikátov je teda rovnako zásadná ako u DV certifikátov.

Číslo 47 dní sa môže zdať ľubovoľné, ale vychádza z jednoduchej postupnosti:

• 200 dní = 6 maximálnych mesiacov (184 dní) + 1/2 tridsaťdenného mesiaca (15 dní) + 1 deň rezervy
• 100 dní = 3 maximálne mesiace (92 dní) + približne 1/4 tridsaťdenného mesiaca (7 dní) + 1 deň rezervy
• 47 dní = 1 maximálny mesiac (31 dní) + 1/2 tridsaťdenného mesiaca (15 dní) + 1 deň rezervy

Tento model stanovenia „nepárnej“ doby platnosti s pridanou rezervou je už dlhú dobu štandardným postupom CA/B Fora. Súčasný limit 398 dní bol zvolený ako 1 maximálny rok (366 dní) + 1 maximálny mesiac (31 dní) + 1 deň rezervy.

Áno, podľa pravidiel je možné získať ďalších 398 dní, ak certifikáty obnovíte pred 15. marcom 2026. Ide však o jednorazové predĺženie — pri ďalšej obnove už bude maximálna doba platnosti znížená na 100 dní. Nezabudnite si preto včas nastaviť automatizáciu, aby ste boli pripravení.

Ak budete musieť certifikát znovu vytvoriť s novým kľúčom (rekey) 15. marca 2026 alebo neskôr, bude DigiCert (rovnako ako akákoľvek iná verejná certifikačná autorita) musieť dodržať pravidlá platné v danom okamihu, čo vám v najlepšom prípade poskytne certifikát s platnosťou 200 dní.

Najlepší čas na automatizáciu správy certifikátov je čo najskôr — zaistíte si tak, že na tento proces budete pripravení, bez rizika výpadkov spôsobených vypršaním platnosti certifikátov alebo inými problémami.

Trh s verejnými TLS certifikátmi je z veľkej väčšiny zameraný na certifikáty používané v prehliadačoch, typicky inštalované na nejakom webovom serveri, existujú však aj iné prípady použitia. Dobrým príkladom sú VPN brány a niektoré zariadenia internetu vecí (IoT).

Aj tieto zariadenia budú musieť zrýchliť tempo riadenia životného cyklu certifikátov (CLM). Mnohé z nich priamo podporujú ACME alebo iný automatizačný protokol, takže zmena parametrov nemusí byť zásadný problém. V iných prípadoch môže existovať podpora alternatívneho mechanizmu automatizácie, alebo žiadna podpora vôbec — potom je na užívateľovi, aby si automatizáciu zaistil programovo.

Prispôsobenie sa novému harmonogramu bude u týchto zariadení častým problémom. Je dôležité vytvoriť kompletný inventár dotknutých aktív, s čím môže spoločnosť DigiCert pomôcť.