Skrócenie ważności certyfikatów SSL

W kwietniu 2025 roku CA/Browser Forum przyjęło Ballot SC-081v3, czyli decyzję o stopniowym skróceniu maksymalnego okresu ważności publicznych certyfikatów SSL/TLS. Docelowy limit wyniesie 47 dni, a pierwsze zmiany wchodzą w życie etapami począwszy od 15 marca 2026 roku. Poniżej przedstawiamy pełny harmonogram zmian, ich uzasadnienie oraz wynikające z nich wymagania dla właścicieli domen i administratorów infrastruktury.

Podstawa zmian i ich uzasadnienie

CA/Browser Forum jest organizacją standaryzacyjną dla branży certyfikatów SSL/TLS, skupiającą urzędy certyfikacji (m.in. DigiCert, Sectigo) oraz producentów przeglądarek (m.in. Google, Apple, Mozilla). Zmiany w standardach wprowadzane są poprzez formalne propozycje (tzw. ballots), nad którymi głosują członkowie Forum. Po ich przyjęciu stają się one obowiązującą częścią wymagań dla całego ekosystemu.

Ballot SC-081v3 kontynuuje wieloletni trend skracania ważności certyfikatów: z 3 lat do 2 lat, następnie do 398 dni, a docelowo w 2029 do 47 dni. Za każdym razem motywem były rosnące wymagania bezpieczeństwa i potrzeba szybszego reagowania na nowe zagrożenia. Obecna zmiana wynika z trzech konkretnych przesłanek.

Ograniczenie okna ryzyka przy kompromitacji klucza prywatnego. Skradziony lub ujawniony klucz prywatny może być wykorzystywany przez cały aktywny okres ważności certyfikatu. Przy obecnych 398 dniach oznacza to ponad rok potencjalnego zagrożenia. Skrócenie okresu ważności bezpośrednio skraca ten czas.

Regularna weryfikacja kontroli nad domeną. Wydanie certyfikatu wymaga potwierdzenia, że zamawiający faktycznie administruje daną domeną (DCV — Domain Control Validation). Przy rocznej ważności weryfikacja ta odbywała się raz do roku. Krótsze cykle wymuszają jej częstsze powtarzanie, co zwiększa aktualność danych i przyspiesza wykrywanie sytuacji, gdy domena zmieniła administratora.

Przyśpieszenie adopcji nowych standardów kryptograficznych. Każde odnowienie certyfikatu jest naturalną okazją do weryfikacji i aktualizacji konfiguracji kryptograficznej. Przy rocznych cyklach organizacje często odkładały tę aktualizację na później. Krótsze cykle skracają czas reakcji branży na nowe zagrożenia — z miesięcy do tygodni.

Harmonogram zmian

CA/Browser Forum rozłożyło wdrożenie zmian na trzy etapy, dając organizacjom czas na dostosowanie infrastruktury i procesów. Poniżej przedstawiamy daty i wynikające z nich wymagania.

15 marca 2026 roku maksymalna ważność certyfikatu spada do 200 dni, co oznacza konieczność odnowienia około dwukrotnie w roku. To etap przejściowy, pozwalający przetestować procesy odnawiania bez ekstremalnej częstotliwości.

15 marca 2027 roku limit skraca się do 100 dni, a certyfikaty będą wymagać odnowienia co najmniej cztery razy w roku. Na tym etapie ręczne zarządzanie certyfikatami zaczyna być istotnym obciążeniem operacyjnym.

15 marca 2029 roku wchodzi w życie docelowy limit 47 dni. Certyfikaty będą wymagać odnowienia około 7–8 razy w roku na każdą domenę.

Równolegle skraca się okres ważności wyników weryfikacji domeny (DCV). Od 15 marca 2029 roku wyniki DCV będą ważne przez maksymalnie 10 dni. Po tym czasie wymagana jest ponowna weryfikacja, nawet jeśli po stronie administratora domeny nic się nie zmieniło.

Warto też uwzględnić, że część urzędów certyfikacji stosuje własne, wcześniejsze terminy graniczne dla zamówień składanych przed datą zmiany. DigiCert wyznaczył taki termin na 24 lutego 2026 roku, Sectigo na 12 marca 2026 roku.

Tabela 1. Harmonogram zmian maksymalnych okresów ważności certyfikatów SSL/TLS

Data	Maks. ważność	Odnawianie / rok	Maks. ponowne użycie DCV
Do 14 marca 2026	398 dni	~1×	398 dni
15 marca 2026	200 dni	~2×	200 dni
15 marca 2027	100 dni	~4×	100 dni
15 marca 2029	47 dni	~8×	10 dni

Skutki operacyjne

Skrócenie ważności certyfikatów SSL/TLS ma bezpośrednie przełożenie na procesy zarządzania infrastrukturą. Poniżej opisujemy najważniejsze konsekwencje praktyczne.

Częstotliwość odnowień. Przy 47-dniowej ważności jedna domena wymaga odnowienia certyfikatu 7–8 razy w roku. Dla organizacji zarządzających wieloma domenami i subdomenami łączna liczba wymaganych operacji może przekraczać kilkaset rocznie, co przy zarządzaniu ręcznym staje się poważnym obciążeniem.

Koszty zakupu. Skrócenie ważności nie zmienia zasad zakupu certyfikatów. Certyfikat można nadal opłacić z góry na kilka lat. Techniczne odnowienia w ramach opłaconego okresu nie wymagają nowego zamówienia ani ponownej płatności.

Skutki wygaśnięcia certyfikatu. Brak aktualnego certyfikatu SSL powoduje wyświetlanie przez przeglądarki ostrzeżeń o niezabezpieczonej witrynie, co praktycznie uniemożliwia normalną pracę odwiedzającym. Wygaśnięcie certyfikatu wpływa też negatywnie na pozycję strony w wynikach wyszukiwania Google.

Certyfikaty OV i EV. Certyfikaty z rozszerzoną walidacją (Organization Validation, Extended Validation) wymagają przy każdym odnowieniu dostarczenia dokumentacji organizacyjnej i przejścia przez pełny proces weryfikacji. Przy krótszych cyklach zwiększa to obciążenie administracyjne, szczególnie w organizacjach posiadających wiele certyfikatów tego typu.

Certyfikaty komercyjne a darmowe

Nowe limity ważności dotyczą wszystkich publicznych certyfikatów SSL/TLS — zarówno darmowych (np. wystawianych przez Let's Encrypt), jak i komercyjnych od DigiCert, Sectigo i innych urzędów certyfikacji. Argument o dłuższej ważności certyfikatów płatnych w świetle tych zmian traci na znaczeniu.

Certyfikaty darmowe były od początku projektowane z myślą o krótkich cyklach życia i automatycznym odnawianiu — ich infrastruktura jest dobrze przygotowana na nowe wymagania. Dla prostych stron internetowych stanowią wystarczające rozwiązanie.

Certyfikaty komercyjne zachowują natomiast istotną przewagę w zakresie poziomu walidacji. Certyfikaty OV i EV potwierdzają nie tylko prawo do domeny, ale też tożsamość organizacji, co ma szczególne znaczenie w bankowości, finansach, e-commerce i sektorze publicznym. Certyfikaty komercyjne obejmują ponadto gwarancje finansowe na wypadek błędów w procesie walidacji oraz wsparcie techniczne ze strony urzędu certyfikacji.

Automatyzacja i zalecane działania

Przy docelowym cyklu 47 dni liczba wymaganych operacji odnowienia sprawia, że ręczne zarządzanie certyfikatami, obejmujące: monitorowanie terminów, przeprowadzanie weryfikacji domeny, pobieranie i instalację certyfikatu przestaje być realistycznym rozwiązaniem. Organizacje, które nie wdrożą automatyzacji, będą regularnie narażone na wygaśnięcia certyfikatów i związane z tym przerwy w dostępności usług.

Podstawowym narzędziem automatyzacji w tym zakresie jest protokół ACME (Automatic Certificate Management Environment), który umożliwia pełną automatyzację cyklu życia certyfikatu: od zamówienia, przez weryfikację domeny, aż po instalację i podmianę certyfikatu na serwerze — bez konieczności ingerencji administratora. Dla organizacji zarządzających certyfikatami w większej skali rozwiązaniem są systemy Certificate Lifecycle Management (CLM), które monitorują terminy ważności wszystkich certyfikatów w infrastrukturze, inicjują procesy odnowienia i raportują ich status.

Pracujemy nad wdrożeniem do naszej oferty usług automatycznych aktualizacji certyfikatów, które umożliwią klientom pełną automatyzację tego procesu.

Niezależnie od wybranego narzędzia, wdrożenie automatyzacji warto poprzedzić kilkoma działaniami przygotowawczymi.

Inwentaryzacja certyfikatów. Zebranie informacji o wszystkich certyfikatach SSL/TLS w organizacji: liczba domen i subdomen, lokalizacje instalacji, daty wygaśnięcia. Certyfikaty bywają rozproszone między serwerami, środowiskami chmurowymi i urządzeniami sieciowymi — bez pełnego obrazu trudno zaplanować skuteczną automatyzację.

Ocena obecnego procesu. Identyfikacja wszystkich czynności wykonywanych ręcznie: kto monitoruje terminy, kto przeprowadza weryfikację domeny, kto instaluje certyfikat. Każdy taki element wymaga uwzględnienia przy projektowaniu automatyzacji.

Konfiguracja progów odnowienia. Przy 47-dniowej ważności zalecane jest inicjowanie odnowienia, gdy do wygaśnięcia certyfikatu pozostaje mniej niż 30 dni, czyli po około 17 dniach od jego wystawienia.

Monitoring i procedury awaryjne. Nawet przy pełnej automatyzacji niezbędne są alerty informujące o nieudanych próbach odnowienia. Warto ustalić procedury ręcznej interwencji i przypisać odpowiedzialność za ich realizację.

Do porównania:

Porównaj!

Niezbędne pliki cookies ─ pliki cookies niezbędne do funkcjonowania Portalu, umożliwiające korzystanie z usług dostępnych w ramach Portalu.
Nazwa	Opis	Okres przechowywania	Dostawca cookie
certyfikaty24_session	Sesja użytkownika	24h	MSERWIS
XSRF-TOKEN	Token CSRF	24h	MSERWIS
remember_web_*	Token logowania	5 lat	MSERWIS
acceptCookies	Informacja o akceptacji cookies przez użytkownika	1 miesiąc	MSERWIS
Analityczne/Wydajnościowe pliki cookies ─ pliki cookies umożliwiające zbieranie informacji o sposobie korzystania z Serwisu, które pomagają nam zrozumieć w jaki sposób wykorzystywany jest nasz Serwis lub umożliwić jego dostosowanie.
Nazwa	Opis	Okres przechowywania	Dostawca cookie
Google Analytics (_ga, _gid, _gat*...)	Analityka	2 lata	Google
Reklamowe ─ pliki cookies umożliwiające dostarczanie Usługobiorcom treści reklamowych bardziej dostosowanych do ich preferencji i zainteresowań, odwiedzin na stronie internetowe.
Nazwa	Opis	Okres przechowywania	Dostawca cookie
Google Ads	Cele reklamowe i remarketing	3 miesiące	Google