Zkracování platnosti certifikátů: bez automatizace se neobejdete

23. 1. 2026 | Jindřich Zechmeister

Svět TLS certifikátů se v nejbližších měsících výrazně změní. Zkracování platnosti certifikátů, kratší životnost ověření a tlak na plnou automatizaci ověřovacích procesů zásadně mění dosavadní praxi. DigiCert přichází se změnami dříve, než se původně očekávalo, a Google zároveň prosazuje automatické ověřování domén v rámci DCV. Výsledkem je jasný trend: ruční správa certifikátů přestává stačit a automatizace životního cyklu se stává nutností, nikoli volbou.

Únor přinese v oblasti digitálních certifikátů zásadní změny, které je dobré nepodcenit. CA DigiCert reaguje na povinnost zkrátit platnost TLS a Code Signing certifikátů s předstihem, aby se předešlo potížím – proto ke zkrácení dojde už 24. února. Nejde přitom jen o samotnou délku platnosti certifikátu, ale také o výrazné zkrácení doby, po kterou lze znovu použít již provedené ověření.

Dosud bylo běžné, že ověření domény nebo organizace mělo delší životnost než samotný certifikát. To se nyní mění. Platnost domain control validation (DCV) i organization validation (OV) se bude zkracovat, což znamená častější nutnost ověřování. Pro provozovatele většího počtu certifikátů to představuje nejen vyšší administrativní zátěž, ale i větší riziko výpadků, pokud se na změny nepřipraví včas.

Do tohoto vývoje navíc výrazně promlouvá Google, který v CAB foru dlouhodobě tlačí na to, aby ověřování domén v rámci DCV probíhalo výhradně automatizovaně. Manuální postupy – typicky e-maily nebo ruční zásahy – mají postupně zmizet. Cílem je vyšší bezpečnost, konzistence a menší prostor pro lidské chyby, ale zároveň to znamená konec pohodlného „ručního“ světa.

V praxi to vede k jednomu nevyhnutelnému závěru: automatizace životního cyklu certifikátu už není volitelná, ale nutná. Pokud se certifikáty i ověření budou obnovovat častěji, bez automatických procesů to jednoduše nepůjde. Každý ruční krok zvyšuje riziko, že se na něco zapomene a služba zůstane bez platného certifikátu.

Řešením je nasazení automatizačních nástrojů, ať už v podobě protokolu ACME, nebo centrálního nástroje typu Trust Lifecycle Manager. Tyto technologie umožňují nejen automatické vydávání a obnovu certifikátů, ale také pravidelné a bezobslužné ověřování domén. V kontextu únorových změn se z nich stává základní stavební kámen moderní správy certifikátů.

Změny, které přicházejí, nejsou jen technickým detailem. Jsou signálem, že ekosystém TLS se posouvá směrem k plné automatizaci. Organizace, které na tento trend zareagují včas, si ušetří stres i provozní rizika. Ty ostatní mohou už velmi brzy zjistit, že bez ACME nebo obdobného řešení už to jednoduše nepůjde.

SSLmarket umí plně automatizovat životního cyklu certifikátů. Zeptejte se nás, jak na to, a začněte ještě dnes.