Certyfikaty TLS na 47 dni – nowa rewolucja w bezpieczeństwie HTTPS

Czym jest certyfikat TLS i dlaczego jego ważność ma znaczenie

Certyfikat TLS (Transport Layer Security) to cyfrowy dokument potwierdzający tożsamość strony internetowej i szyfrujący komunikację między przeglądarką użytkownika a serwerem. To właśnie on odpowiada za protokół HTTPS i symbol kłódki widoczne w pasku adresu każdej nowoczesnej przeglądarki.

Każdy certyfikat ma datę ważności. Po jej upływie Chrome, Firefox, Edge czy Safari wyświetlają użytkownikowi komunikat Ta strona nie jest bezpieczna, co praktycznie blokuje dostęp do serwisu i natychmiast niszczy zaufanie klientów. Wygaśnięty certyfikat to jeden z najczęstszych powodów nieplanowanych przestojów stron firmowych – i jeden z najłatwiejszych do uniknięcia.

Przez lata standardem było zakupienie certyfikatu na dwa lata i ustawienie jednego przypomnienia w kalendarzu. To podejście właśnie odchodzi do historii.

Historia skracania certyfikatów TLS – od pięciu lat do kilku tygodni

Skracanie okresu ważności certyfikatów to długotrwały trend w branży cyberbezpieczeństwa, forsowany głównie przez producentów przeglądarek zrzeszonych w CA/Browser Forum – organizacji skupiającej urzędy certyfikacji oraz dostawców przeglądarek i systemów operacyjnych.

• Do 2015 roku – certyfikaty mogły być ważne nawet 5 lat (1825 dni). Nikt szczególnie się tym nie przejmował.
• 2018 rok – CA/Browser Forum skróciło maksymalny okres do 2 lat (825 dni).
• 2020 rok – Apple jednostronnie ogłosiło, że Safari przestaje ufać certyfikatom ważnym dłużej niż 398 dni (ok. 13 miesięcy). Pozostałe przeglądarki szybko poszły w ślad.
• 2024–2025 rok – CA/Browser Forum przegłosowało kolejne skrócenia, wyznaczając harmonogram dochodzenia do limitu 47 dni do 2029 roku.

Każda zmiana wywoływała opór ze strony urzędów certyfikacji i firm zarządzających certyfikatami ręcznie – ale każda ostatecznie wchodziła w życie. Kierunek jest jednoznaczny.

Dlaczego akurat 47 dni? Argumenty branży za krótszym cyklem

Propozycja Apple zakłada stopniowe dojście do certyfikatów ważnych zaledwie 47 dni do 2029 roku. Google wspiera podobną filozofię. Branża podaje kilka kluczowych argumentów:

• Mniejsze okno ryzyka – jeśli klucz prywatny certyfikatu zostanie skradziony lub certyfikat zostanie wystawiony przez błąd urzędu certyfikacji, krótszy czas ważności drastycznie ogranicza zasięg szkód.
• Szybsza adopcja nowych algorytmów – krótki cykl życia certyfikatów oznacza, że nowe, bezpieczniejsze algorytmy kryptograficzne (w tym odporne na ataki komputerów kwantowych) będą szybciej adoptowane w całym internecie.
• Aktualność danych właściciela – dane identyfikacyjne zawarte w certyfikacie starzeją się. Przy 47-dniowym cyklu certyfikat zawsze odzwierciedla bieżący stan.
• Wymuszenie automatyzacji – przy tak krótkim cyklu ręczne odnawianie staje się praktycznie niemożliwe. To celowy zabieg: branża chce wypchnąć firmy ku bezpieczniejszym, w pełni zautomatyzowanym procesom.

Krytycy – głównie mniejsze urzędy certyfikacji i firmy zarządzające certyfikatami ręcznie – wskazują na dodatkowe koszty i złożoność dla małych firm. Argumenty te nie powstrzymały jednak procesu legislacyjnego w CA/Browser Forum.

Harmonogram zmian – kiedy nowe limity wejdą w życie

Zmiany przebiegają etapami, co daje firmom czas na przygotowanie. Zgodnie z przegłosowanymi przez CA/Browser Forum regulacjami, harmonogram wygląda następująco:

• 2026 rok – maksymalny okres ważności certyfikatu skrócony do 200 dni
• 2027 rok – dalsze skrócenie do 100 dni
• 2029 rok – docelowy limit wynosi 47 dni

Równolegle skrócony zostanie czas, przez jaki urzędy certyfikacji mogą ponownie wykorzystywać wcześniej zweryfikowane dane właściciela domeny – z obecnych 398 do docelowo 10 dni. Oznacza to, że nie tylko same certyfikaty, ale cały proces ich wystawiania musi zostać zautomatyzowany.

Warto zaznaczyć, że zmiany dotyczą publicznie zaufanych certyfikatów TLS, czyli używanych na stronach dostępnych przez internet. Certyfikaty wewnętrzne w prywatnych sieciach firmowych (PKI) podlegają odrębnym regulacjom i nie są objęte tymi limitami.

Automatyzacja odnawiania – ACME, Let's Encrypt i dostępne rozwiązania

Kluczem do przygotowania się na erę 47-dniowych certyfikatów jest automatyzacja. Protokół ACME (Automatic Certificate Management Environment) umożliwia w pełni automatyczne wystawianie i odnawianie certyfikatów bez żadnej ingerencji człowieka. To właśnie na nim opiera się m.in. usługa Let's Encrypt.

Dostępne rozwiązania dla firm różnej wielkości:

• Let's Encrypt z klientem ACME – bezpłatne certyfikaty z automatycznym odnawianiem. Wymaga instalacji klienta na serwerze (np. Certbot, Caddy). Dobre dla firm posiadających własny serwer www.
• Automatyczne certyfikaty od hostingów i chmury – większość nowoczesnych platform (Azure, AWS, cPanel, Plesk) oferuje zarządzanie certyfikatami w panelu administracyjnym. Dla wielu firm MŚP to najprostsze wyjście.
• Komercyjne platformy zarządzania certyfikatami – rozwiązania takie jak DigiCert CertCentral czy Sectigo Certificate Manager oferują centralne zarządzanie dziesiątkami certyfikatów z jednego miejsca.
• Cert-manager w Kubernetes – dla firm działających w środowiskach kontenerowych, w pełni automatyzuje cykl życia certyfikatów na poziomie klastra.

Wybór konkretnego rozwiązania zależy od liczby zarządzanych domen, środowiska technicznego i dostępnych zasobów IT. Jedno jest pewne: poleganie wyłącznie na ręcznym odnawianiu przestaje być opcją.

Co powinna zrobić Twoja firma już teraz

Zmiany wchodzą etapami, ale firmy zarządzające certyfikatami ręcznie powinny działać już dziś – nie dopiero gdy limit zostanie przekroczony:

1. Zinwentaryzuj certyfikaty – ustal, ile certyfikatów TLS posiada Twoja firma, kiedy wygasają i kto jest za nie odpowiedzialny. Pomocny może być audyt infrastruktury IT.
2. Oceń poziom automatyzacji – sprawdź, czy Twój hosting lub dostawca chmury oferuje automatyczne odnawianie. Jeśli nie – rozważ zmianę platformy lub wdrożenie klienta ACME.
3. Unikaj długich certyfikatów przy odnowieniu – jeśli właśnie odnawisz certyfikat, nie kupuj go na kilka lat. Krótsze okresy ułatwią późniejsze przestawienie na nowy cykl.
4. Zaktualizuj procedury i odpowiedzialności – upewnij się, że w firmie jest jasno określone, kto zarządza certyfikatami i co się dzieje, gdy zbliża się data wygaśnięcia.
5. Przetestuj odnawianie z wyprzedzeniem – nie czekaj na komunikat o wygaśnięciu. Przeprowadź próbne odnowienie i zweryfikuj, że cały proces działa poprawnie.

Firmy, które wdrożą automatyzację teraz, przejdą przez kolejne etapy skracania certyfikatów bez przestojów i dodatkowych kosztów. Dla pozostałych każde obniżenie limitu będzie oznaczać presję czasową i ryzyko utraty zaufania klientów.