Sobota, 18 dubna, 2026

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)

Blog nejen o IT [Microsoft 365, Azure, Defender for Endpoint, Windows Pro, Windows Enterprise, Windows Server, konzultace, bezpečnost, licencování]

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)
Bezpečnost
Články 

HTTPS certifikáty zkrátí platnost na 47 dní – Konec ruční správy se blíží (Aktualizace 5.3.2026)

Michal Zobec žádný komentář , , , , , , , , , , , , , , , , , , , , , , , ,

 

Platnost veřejných TLS/HTTPS certifikátů se v následujících letech výrazně zkrátí. Podle rozhodnutí CA/Browser Forum se maximální životnost certifikátů postupně sníží z dnešních 398 dní až na 47 dní do roku 2029. Pro správce serverů a aplikací to znamená především jednu věc: správa certifikátů se bude muset plně automatizovat.

Bezpečnost

 

 

Platnost veřejných TLS/HTTPS certifikátů se v následujících letech dramaticky zkrátí. Podle aktuálních směrnic CA/Browser Forum se maximální životnost certifikátů postupně sníží z dnešních 398 dní na pouhých 47 dní do roku 2029. Pro správce serverů to znamená jediné: bez plné automatizace správy certifikátů (CLM) se infrastruktura neobejde.

Harmonogram zkracování platnosti TLS certifikátů

Změna nebude okamžitá, ale proběhne v několika vlnách. Tento postupný přechod má poskytnout organizacím čas na implementaci automatizačních protokolů, jako je ACME.

Termín účinnosti Maximální platnost certifikátu Počet obnov za rok (cca)
Do 14. března 2026 398 dní (stávající stav)
Od 15. března 2026 200 dní
Od 15. března 2027 100 dní
Od 15. března 2029 47 dní

 

Poznámka: Tyto termíny vycházejí z návrhu Ballot SC-081 a širší snahy prohlížečů (Google Chrome, Apple Safari) o posílení bezpečnosti Web PKI.

Proč se životnost HTTPS certifikátů zkracuje?

Zkracování je dlouhodobý trend. Ještě před deseti lety byla běžná pětiletá platnost. Hlavním motorem změn je bezpečnost a agilita:

  • Omezení zneužití: Pokud dojde ke kompromitaci privátního klíče, útočník má mnohem méně času na jeho využití.

  • Kryptografická agilita: Rychlejší rotace umožňuje efektivněji přejít na nové šifrovací standardy (např. odolné vůči kvantovým počítačům).

  • Eliminace revokací: Tradiční seznamy zneplatněných certifikátů (CRL) a OCSP jsou nespolehlivé. Krátká platnost tento problém řeší přirozeně – certifikát prostě brzy vyprší sám.

 

Co to znamená pro správu serverů a aplikací?

Při platnosti 47 dní (cca 1,5 měsíce) už není lidsky možné hlídat termíny v kalendáři a ručně nahrávat soubory na servery. Riziko lidské chyby a následného výpadku služeb (tzv. outage) se zvyšuje osminásobně.

Klíčové oblasti dopadu:

  1. Webové a aplikační servery: Nutnost nasazení klientů jako Certbot nebo integrace s autoritami přes API.

  2. Load Balancery a Cloud: Automatické propisování nových certifikátů do CDN a balancerů.

  3. Audit a monitoring: Přehled o všech certifikátech v síti (Certificate Inventory) se stává kritickým.

 

Budoucnost je v protokolu ACME

Jedinou udržitelnou cestou je přechod na Certificate Lifecycle Management (CLM). Automatizace pomocí protokolu ACME (Automated Certificate Management Environment), který proslavila autorita Let’s Encrypt, se nyní stává standardem i pro komerční certifikáty (OV a EV).

 

Shrnutí a doporučení

Zkrácení na 47 dní není hrozba, ale evoluce. Firmy, které včas přejdou na automatizované procesy, získají stabilnější a bezpečnější prostředí.

Co byste měli udělat hned?

  • Provést audit všech aktuálně používaných certifikátů.

  • Prověřit, zda vaše síťové prvky (firewally, load balancery) podporují automatizované obnovování.

  • Začít testovat nástroje pro centralizovanou správu klíčů.

 

 

Aktualizace (únor–březen 2026): přechod na 200 dní už začal

Ačkoliv oficiální změna pravidel CA/B Forum začne platit až 15. března 2026, některé certifikační autority začaly zkracovat platnost nově vydávaných certifikátů už s předstihem. Od tohoto data totiž bude maximální platnost veřejného SSL/TLS certifikátu 200 dní, zatímco dříve bylo možné vydat certifikát až na 398 dní.

Například Sectigo začalo vydávat veřejné TLS certifikáty s maximální platností 200 dní již 23. února 2026. DigiCert (včetně QuoVadis) přešel na ještě o něco kratší limit 199 dní od 24. února 2026.

Od 15. března 2026 se toto omezení stane závazným pro všechny veřejně důvěryhodné certifikační autority v rámci pravidel CA/B Forum. Od tohoto data již nebude možné vydat veřejný SSL/TLS certifikát s platností delší než 200 dní.

Je také dobré připomenout, že tato změna se netýká služby Let’s Encrypt, která dlouhodobě vydává certifikáty pouze s platností 90 dní. V tomto směru byl tento projekt před ostatními certifikačními autoritami o několik let napřed.

Pozadu nezůstávají ani domácí autority – PostSignum již vydala novou certifikační politiku s účinností od 10. března 2026, kterou zkracuje platnost doménových certifikátů na 198 dní, zatímco I.CA přechází na limit 200 dní k oficiálnímu termínu 15. března 2026. Pro uživatele českých CA to znamená nutnost generovat žádosti minimálně dvakrát ročně, což při chybějící plné automatizaci u mnoha subjektů výrazně zvyšuje administrativní zátěž.

 

 

Aktualizace

4.3.2026

Článek vydán.

5.3.2026

Doplnění aktuálních informací o přechodu na kratší platnost SSL/TLS certifikátů – které certifikační autority již začaly vydávat certifikáty s platností přibližně 200 dnů a které tuto změnu zavedou až k oficiálnímu datu 15. března 2026.

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting

Nechte vzkaz