Středa, 4 března, 2026

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)

Blog nejen o IT [Microsoft 365, Azure, Defender for Endpoint, Windows Pro, Windows Enterprise, Windows Server, konzultace, bezpečnost, licencování]

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)
Bezpečnost
Články 

HTTPS certifikáty zkrátí platnost na 47 dní – Konec ruční správy se blíží

Michal Zobec žádný komentář , , , , , , , ,

 

Platnost veřejných TLS/HTTPS certifikátů se v následujících letech výrazně zkrátí. Podle rozhodnutí CA/Browser Forum se maximální životnost certifikátů postupně sníží z dnešních 398 dní až na 47 dní do roku 2029. Pro správce serverů a aplikací to znamená především jednu věc: správa certifikátů se bude muset plně automatizovat.

Bezpečnost

 

 

Platnost veřejných TLS/HTTPS certifikátů se v následujících letech dramaticky zkrátí. Podle aktuálních směrnic CA/Browser Forum se maximální životnost certifikátů postupně sníží z dnešních 398 dní na pouhých 47 dní do roku 2029. Pro správce serverů to znamená jediné: bez plné automatizace správy certifikátů (CLM) se infrastruktura neobejde.

Harmonogram zkracování platnosti TLS certifikátů

Změna nebude okamžitá, ale proběhne v několika vlnách. Tento postupný přechod má poskytnout organizacím čas na implementaci automatizačních protokolů, jako je ACME.

Termín účinnosti Maximální platnost certifikátu Počet obnov za rok (cca)
Do 14. března 2026 398 dní (stávající stav)
Od 15. března 2026 200 dní
Od 15. března 2027 100 dní
Od 15. března 2029 47 dní

 

Poznámka: Tyto termíny vycházejí z návrhu Ballot SC-081 a širší snahy prohlížečů (Google Chrome, Apple Safari) o posílení bezpečnosti Web PKI.

Proč se životnost HTTPS certifikátů zkracuje?

Zkracování je dlouhodobý trend. Ještě před deseti lety byla běžná pětiletá platnost. Hlavním motorem změn je bezpečnost a agilita:

  • Omezení zneužití: Pokud dojde ke kompromitaci privátního klíče, útočník má mnohem méně času na jeho využití.

  • Kryptografická agilita: Rychlejší rotace umožňuje efektivněji přejít na nové šifrovací standardy (např. odolné vůči kvantovým počítačům).

  • Eliminace revokací: Tradiční seznamy zneplatněných certifikátů (CRL) a OCSP jsou nespolehlivé. Krátká platnost tento problém řeší přirozeně – certifikát prostě brzy vyprší sám.

 

Co to znamená pro správu serverů a aplikací?

Při platnosti 47 dní (cca 1,5 měsíce) už není lidsky možné hlídat termíny v kalendáři a ručně nahrávat soubory na servery. Riziko lidské chyby a následného výpadku služeb (tzv. outage) se zvyšuje osminásobně.

Klíčové oblasti dopadu:

  1. Webové a aplikační servery: Nutnost nasazení klientů jako Certbot nebo integrace s autoritami přes API.

  2. Load Balancery a Cloud: Automatické propisování nových certifikátů do CDN a balancerů.

  3. Audit a monitoring: Přehled o všech certifikátech v síti (Certificate Inventory) se stává kritickým.

 

Budoucnost je v protokolu ACME

Jedinou udržitelnou cestou je přechod na Certificate Lifecycle Management (CLM). Automatizace pomocí protokolu ACME (Automated Certificate Management Environment), který proslavila autorita Let’s Encrypt, se nyní stává standardem i pro komerční certifikáty (OV a EV).

 

 

Shrnutí a doporučení

Zkrácení na 47 dní není hrozba, ale evoluce. Firmy, které včas přejdou na automatizované procesy, získají stabilnější a bezpečnější prostředí.

Co byste měli udělat hned?

  • Provést audit všech aktuálně používaných certifikátů.

  • Prověřit, zda vaše síťové prvky (firewally, load balancery) podporují automatizované obnovování.

  • Začít testovat nástroje pro centralizovanou správu klíčů.

 

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting

Nechte vzkaz