Připravte se na zkrácení platnosti certifikátů

Maximální platnost veřejného TLS certifikátu se bude v následujících letech postupně zkracovat:

• Do 15. března 2026 je maximální platnost TLS certifikátu 398 dní.
• Od 15. března 2026 bude maximální platnost TLS certifikátu 200 dní.
• Od 15. března 2027 bude maximální platnost TLS certifikátu 100 dní.
• Od 15. března 2029 bude maximální platnost TLS certifikátu 47 dní.

Zkracuje se také maximální doba, po kterou je možné znovu použít informace z ověření domény a IP adresy:

• Do 15. března 2026 je maximální doba znovupoužití ověřovacích údajů 398 dní.
• Od 15. března 2026 je maximální doba znovupoužití ověřovacích údajů 200 dní.
• Od 15. března 2027 je maximální doba znovupoužití ověřovacích údajů 100 dní.
• Od 15. března 2029 je maximální doba znovupoužití ověřovacích údajů 10 dní.

Maximální platnost certifikátu určuje nejvyšší počet dnů, po které je certifikát považován za platný. Aby mohla certifikační autorita (CA) certifikát vydat, musí ověřit, že žadatel skutečně ovládá doménu nebo IP adresu uvedenou v certifikátu.

Pokud dnes máte certifikát a obnovujete ho jednou ročně (podle současných pravidel), dochází k opětovnému ověření kontroly nad doménou při každé obnově.

Co ale v případě, že potřebujete certifikát nahradit dříve než při obnově – například pokud dojde ke kompromitaci privátního klíče? V takovém případě může CA znovu použít ověření provedené při poslední obnově, a vy se tak vyhnete nutnosti nové validace. To je možné proto, že ještě neuplynula maximální doba znovupoužití ověření domény.

Základní požadavky (tzv. Baseline Requirements, tedy pravidla CA/B Forum pro vydávání certifikátů) vždy definovaly oba tyto časové limity, ale většinou byly nastaveny na stejnou hodnotu.

Změna v poslední fázi nových pravidel – kdy maximální platnost certifikátu klesne na 47 dní, zatímco ověření domény bude možné znovu použít pouze po dobu 10 dní – má zajistit, aby ověřování probíhalo častěji. CA/B Forum vychází z předpokladu, že informace o kontrole domény velmi rychle zastarávají.

Stejný harmonogram ověřování domény bude platit také pro OV a EV certifikáty. Postupně bude nutné provádět ověření domény ve stejných intervalech jako u DV certifikátů, tedy každých 200 / 100 / 10 dní.

Ostatní údaje obsažené v OV a EV certifikátech (například název a adresa organizace) však budou vyžadovat obnovu pouze každých 398 dní. Zatímco ověření domény lze a mělo by být automatizované, tyto další informace nelze plně automatizovat.

Ne, ne tak docela. Omezení se týká toho, jaké certifikáty mohou certifikační autority (CA) vydávat, nikoli toho, jaké certifikáty mohou prohlížeče přijímat.

Prohlížeč pouze ověřuje, zda aktuální datum spadá do období platnosti certifikátu.

Jakmile jednotlivé změny pravidel vstoupí v platnost, certifikační autority už nebudou moci vydávat TLS certifikáty s platností delší než 200 / 100 / 47 dní.

Certifikát s platností 398 dní, který byl vydán před účinností změny, však zůstane platný až do svého vypršení. Totéž platí i pro certifikáty s platností 200 dní v okamžiku přechodu na limit 100 dní a pro certifikáty s platností 100 dní při přechodu na limit 47 dní.

Ne, základní požadavky jsou závazné pouze pro veřejné certifikační autority.

Interní PKI funguje uvnitř vaší sítě nebo cloudů. Zahrnuje certifikační autority, ale zásady, které interní certifikační autority uplatňují — včetně doby platnosti certifikátů — si stanovujete sami. Může být vhodné zvolit krátkou dobu platnosti i pro interní PKI, ale není to povinné. Veškerý software pro interní PKI můžete provozovat sami, ale jde o složitý a chybám náchylný úkol. Společnost DigiCert nabízí několik různých řešení interní PKI pro podnikové, cloudové a výrobní scénáře.

Ne. Po dobu trvání objednávky (v letech) nejsou žádné náklady navíc za obnovu ani nahrazení certifikátů. Během platnosti objednávky si můžete udělat neomezený počet reissue.

Ne, týkají se pouze koncových (leaf) certifikátů vydaných zprostředkující certifikační autoritou. Neexistují žádná pravidla od CA/B Fora ani jiných standardizačních orgánů, která by omezovala dobu platnosti kořenových a zprostředkujících certifikátů, ale obecně jsou uznávány osvědčené postupy a dodavatelé softwaru, který certifikáty používá, si stanovují vlastní pravidla pro své programy důvěryhodných kořenů, která se mohou výrazně lišit.

Mozilla Root Store Policy (oddíl 7.4) uvádí, že Mozilla přestane důvěřovat kořenovým certifikátům 15 let po vygenerování klíče.

Pravidla pro dobu platnosti v Chrome Root Program Policy, verze 1.6 (15. února 2025), jsou složitější. Neexistuje zde pevně stanovený limit platnosti, ale „jakýkoli kořenový certifikát CA s odpovídajícím klíčovým materiálem vygenerovaným před více než 15 lety bude průběžně odstraňován z Chrome Root Store“. Kořeny obsahující klíče vytvořené před 16. dubnem 2014 budou odstraňovány podle pevného ročního harmonogramu definovaného v Root Program Policy.

Microsoft Trusted Root Program uvádí, že „nově vydané kořenové certifikační autority (Root CA) musí mít platnost minimálně osm let a maximálně 25 let od data předložení“. Rozdíl v pravidlech mezi politikou Microsoftu a ostatními politikami vychází z rozmanitosti aplikací, které Microsoft ve své PKI podporuje, což je výrazně širší spektrum než u ostatních prohlížečů.

Jedním ze zdravým rozumem daných osvědčených postupů je, že kořenový certifikát CA by neměl vypršet dříve než kterýkoli zprostředkující certifikát CA, který je na něj navázán.

Špatná správa životního cyklu kořenových a zprostředkujících certifikátů CA může mít závažné následky, jak se nedávno ukázalo v případě, kdy zřejmě zapomenutý zprostředkující certifikát CA společnosti Google vypršel a zanechal mnoho zařízení Google Chromecast bez služby.

Pro běžné a jednoduché případy, jako jsou webové servery a veřejné TLS certifikáty, je automatizace pro zákazníky CertCentral zdarma díky široce podporovaným standardům Automated Certificate Management Environment (ACME) a ACME Renewal Information (ARI).

Samozřejmě ne všechny certifikáty jsou veřejné TLS a ne všechny technologie podporují ACME. Pro tyto případy poskytuje DigiCert Trust Lifecycle Manager pokročilé možnosti automatizace a integrace.

Automatizace pomocí ACME však neznamená jen zaškrtnout jedno políčko. Je nutné provést určité změny na zařízení nebo v aplikaci (typicky na webovém serveru), která certifikát požaduje. Pro většinu administrátorů je ale tento proces nekomplikovaný a dobře zdokumentovaný.

ACME je Automated Certificate Management Environment.
ARI je ACME Renewal Information.

ACME je standard podporovaný všemi velkými certifikačními autoritami, pomocí kterého klientský software pro certifikáty (typicky webový server) požádá certifikační autoritu o certifikát a nainstaluje jej na klienta. (V tomto scénáři je webový server klientem.)

Klientský software musí ACME také podporovat. Podpora je rozšířená, ale ne univerzální. Program ACME klienta obvykle běží na klientském systému podle harmonogramu pomocí Linux cron nebo Plánovače úloh ve Windows, ale existují i další řešení, která plánování integrují do větších produktů.

ARI je související standard, pomocí kterého může server doporučit harmonogram, aby klient věděl, že má certifikát obnovit dříve, než vyprší. Při správné konfiguraci může ARI klientovi nařídit obnovu i v případě, že byl certifikát zneplatněn (revokován), čímž se předejde výpadku.

Podle nových pravidel pro TLS certifikáty bude od 15. března 2026 možné znovu použít ověření informací o identitě subjektu (Subject Identity Information, SII) pouze po dobu 398 dní, namísto dosavadních 825 dní.

To znamená, že hlavním dopadem na vaše OV a EV certifikáty bude nutnost znovu ověřovat informace o identitě subjektu (SII) — tedy informace v certifikátu, které identifikují vaši organizaci — každoročně, nikoli jednou za dva roky.

Podle TLS Baseline Requirements to vyžaduje každoroční telefonický hovor se zástupcem společnosti DigiCert, a proto tento proces nelze plně automatizovat.

Upozorňujeme, že OV a EV certifikáty také chrání doménová jména, takže jejich doba platnosti se bude měnit podle stejného harmonogramu jako u DV certifikátů: na 200 dní v roce 2026, na 100 dní v roce 2027 a na 47 dní v roce 2029. Potřeba automatizovat správu těchto certifikátů je tedy stejně zásadní jako u DV certifikátů.

Číslo 47 dní se může zdát libovolné, ale vychází z jednoduché posloupnosti:

• 200 dní = 6 maximálních měsíců (184 dní) + 1/2 třicetidenního měsíce (15 dní) + 1 den rezervy
• 100 dní = 3 maximální měsíce (92 dní) + přibližně 1/4 třicetidenního měsíce (7 dní) + 1 den rezervy
• 47 dní = 1 maximální měsíc (31 dní) + 1/2 třicetidenního měsíce (15 dní) + 1 den rezervy

Tento model stanovení „liché“ doby platnosti s přidanou rezervou je již dlouhou dobu standardním postupem CA/B Fora. Současný limit 398 dní byl zvolen jako 1 maximální rok (366 dní) + 1 maximální měsíc (31 dní) + 1 den rezervy.

Ano, podle pravidel je možné získat dalších 398 dní, pokud certifikáty obnovíte před 15. březnem 2026. Jde však o jednorázové prodloužení — při další obnově už bude maximální doba platnosti snížena na 100 dní. Nezapomeňte si proto včas nastavit automatizaci, abyste byli připraveni.

Pokud budete muset certifikát znovu vytvořit s novým klíčem (rekey) 15. března 2026 nebo později, bude DigiCert (stejně jako jakákoli jiná veřejná certifikační autorita) muset dodržet pravidla platná v daném okamžiku, což vám v nejlepším případě poskytne certifikát s platností 200 dní.

Nejlepší čas na automatizaci správy certifikátů je co nejdříve — zajistíte si tak, že na tento proces budete připraveni, aniž byste riskovali výpadky způsobené vypršením platnosti certifikátů nebo jinými problémy.

Trh s veřejnými TLS certifikáty je z velké většiny zaměřen na certifikáty používané v prohlížečích, typicky instalované na nějakém webovém serveru, existují však i jiné případy použití. Dobrým příkladem jsou VPN brány a některá zařízení internetu věcí (IoT).

I tato zařízení budou muset zrychlit tempo správy životního cyklu certifikátů (CLM). Mnohá z nich přímo podporují ACME nebo jiný automatizační protokol, takže změna parametrů nemusí být zásadní problém. V jiných případech může existovat podpora alternativního mechanismu automatizace, nebo žádná podpora vůbec — pak je na uživateli, aby si automatizaci zajistil programově.

Přizpůsobení se novému harmonogramu bude u těchto zařízení častým problémem. Je důležité vytvořit kompletní inventář dotčených aktiv, s čímž může společnost DigiCert pomoci.