(R)evoluce v HTTPS: Zkrácení platnosti SSL certifikátů
V rámci zvyšování kybernetické bezpečnosti nás čeká v příštích letech zásadní zlom v zkrácení délky platnosti SSL certifikátů používaných pro zabezpečený přístup na webové stránky HTTPS.
Sdružení CA/Browser Forum (v čele s Applem a Googlem) postupně zkrátí platnost TLS/SSL certifikátů ze současného roku až na pouhých 47 dní (měsíc + rezerva na obnovu) v roce 2029.
Častější rotace certifikátů zároveň přinese zvýšenou technicko-administrativní zátěž, kterou jsme na Českém hostingu připraveni řešit pomocí naší existující automatizované správy certifikátů a přizpůsobením služeb pro klienty, kteří z historických či vlastních důvodů možnosti automatizace doposud nepoužívají.
Proč se platnost SSL certifikátů zkracuje?
Hlavním důvodem je zvýšení kybernetické bezpečnosti. Kratší platnost certifikátu znamená větší bezpečnost v případě, kdy by byl certifikát zneužit. Výrazně se tak zkrátí čas, kdy může útočník využívat kompromitovaný certifikát.
- Vyšší bezpečnost – pokud dojde ke kompromitaci šifrovacího klíče, kompromitovaný certifikát vyprší mnohem dříve. Zároveň mladší certifikát věrněji vystihuje reálnou situaci, kdy byl vystaven, než starší certifikát, kdy již může jít o měsíce neplatné informace.
- Vynucení automatizace – náročnost častější rotace certifikátů předpokládá plošné nasazování automatizovaných procesů správy certifikátů a eliminace lidských chyb a opomenutí při obnovách certifikátů. Internet by měl být díky tomu bezpečnějším prostředím.
- Rychlejší nasazení nových technologií – web dokáže mnohem pružněji přejít na nové, odolnější algoritmy.
Co se mění a koho se to týká?
Současná roční platnost certifikátů se od jara 2026 začala zkracovat. Tato změna se týká všech veřejně důvěryhodných certifikačních autorit a všech typů certifikátů (DV, OV i EV) bez rozdílu.
Harmonogram zkracování
Zkracování proběhne ve třech vlnách:
- Od 15. března 2026: maximální platnost 200 dní (půl roku + rezerva).
- Od 15. března 2027: maximální platnost 100 dní (tři měsíce + rezerva).
- Od 15. března 2029: cílová platnost 47 dní (měsíc + rezerva) - frekvence obnovování certifikátů a ověřování vlastnictví domény bude nutné zajistit až 12× ročně.
Fakturace:
- Fakturace – bude stále jednou ročně.
U dříve zakoupených a vystavených certifikátů se nic nemění
Pokud máte nyní certifikát vystavený na rok, zůstane platný až do konce své lhůty. Nová pravidla omezující platnost se začnou uplatňovat až u certifikátů vystavených po 15. březnu 2026.
Automatizace a pohodlné ověření přes DNS
Již několik let nabízíme pohodlnou automatizovanou obnovu certifikátů s ověřením vlastnictví domény (DV certifikáty) pomocí DNS (zpravidla TXT záznamů). Jako aktuálně nejoblíbenější komerční certifikáty s pohodlnou automatickou obnovou pomocí DNS doporučujeme certifikáty PositiveSSL.
- PositiveSSL – certifikáty s podporou plně automatizované obnovy DV certifikátů.
- Domény s PositiveSSL a našimi nameservery – u těchto domén proběhne vše automatizovaně.
Přechod na PositiveSSL
Všem klientů, kteří aktuálně využívají jiné certifikáty, které nemůžeme automaticky obnovovat (např. RapidSSL), ve chvíli prodlužování stávajícího certifikátu převedeme na PositiveSSL, aby byla zajištěna kontinuita zabezpečení bez ručního zásahu.
Domény s cizími nameservery nebo specifické případy
U domén, které nevyužívají naše nameservery, nebo u certifikátů, které zvolenou formu automatizace neumožňují, je proces obnovy technicky a administrativně mnohem náročnější a vyžaduje naší ruční asistenci a v některých případech i Vaší. Z tohoto důvodu může být v budoucnu správa zpoplatněna.
Doporučujeme využívat naše nameservery společně s SSL certifikáty, které umožňují automatizovanou obnovu (např. PositiveSSL). S nastavením jsme připraveni Vám kdykoli pomoci. V případě jakýchkoli dotazů se neváhejte obrátit na naši zákaznickou podporu.