Sdružení CA/Browser Forum (dobrovolné sdružení předních Certifikačních Autorit a tvůrců webových prohlížečů, jakými jsou např. Google, Apple, Mozilla, Microsoft, definující závazné standardy a pravidla pro vydávání TLS/SSL certifikátů) v dubnu 2025 schválilo harmonogram na postupné zkracování validity TLS/SSL certifikátů ze současných 398 dnů na cílových 47 dnů.
Co to v praxi znamená?
Zkracování platnosti certifikátů povede k tomu, že se budou muset TLS/SSL certifikáty obnovovat na serveru častěji. V případě finálního limitu 47 dní bude nutné vyměnit certifikát celkem 8x za 1 rok.
Proč k takové zásadní změně dochází?
Důvodů, proč sdružení CA/B naplánovalo tuto postupnou změnu platnosti certifikátů, je hned několik.
- Zvýšení bezpečnosti (častějšími obnovami certifikátů lze zamezit možným útokům a kompromitaci webu).
- Rychlejší reakce na změny a případné hrozby v podobě dešifrování klíčů.
- Podpora automatizace při výměně certifikátů.
Jak se dospělo právě k číslu 47?
Platnost 47 dní (přibližně měsíc a půl) působí nezvykle, přesto pro ni existuje logický výpočet s určitou navazující posloupností.
- 200 dní = 6 měsíců (184 dní) + 1/2 měsíce s třiceti dny (15 dní) + 1 den rezervy
- 100 dní = 3 měsíce (92 dní) + přibližně 1/4 měsíce s třiceti dny (7 dní) + 1 den rezervy
- 47 dní = 1 měsíc (31 dní) + 1/2 měsíce s třiceti dny (15 dní) + 1 den rezervy
Tento model „liché“ doby platnosti je již dlouhou dobu standardním postupem CA/B Fora. Současný limit 398 dní byl vypočítán jako 1 rok (366 dní) + 1 měsíc (31 dní) + 1 den rezervy.
Jak bude postupné zkracování probíhat?
Zkracování platnosti TLS/SSL certifikátů neproběhne najednou. Na základě níže uvedeného harmonogramu dojde k finální úpravě ve 3 navazujících fázích.
Dle výchozího/aktuálního stavu (do 14. března 2026) je maximální platnost TLS/SSL certifikátu 398 dní.
- Od 15. března 2026 – maximální platnost 200 dní (1. fáze zkracování)
- Od 15. března 2027 – maximální platnost 100 dní (2. fáze zkracování)
- Od 15. března 2029 – maximální platnost 47 dní (3. fáze zkracování)
Pozor! CA DIGICERT výše uvedenou změnu, platnou pro rok 2026, zveřejní již od 24. února 2026.
Budou SSL certifikáty vydané před 15. březnem 2026 automaticky zkráceny?
Nikoliv. Všechny certifikáty vydané před termínem první fáze zkracování budou platné po takovou dobu, na jakou byly vystaveny. Změna nastane při vytváření nového certifikátu po 15. březnu 2026 – tehdy už bude možné vystavit certifikát pouze s platností 200 dní.
Pozor! Certifikáty vydané CA DIGICERT budou platné na 200 dní již od 24. února 2026.
Jakmile jednotlivé změny pravidel vstoupí v platnost, Certifikační Autority už nebudou moci vydávat certifikáty s platností delší než 200 (2026) / 100 (2027) / 47 dní (2029).
SSL certifikát je dnes už nutností pro každý web, který to myslí aspoň trochu vážně. Zabezpečený web s HTTPS posiluje důvěru návštěvníků a zabezpečení pomocí SSL může zlepšit SEO, protože prohlížeče varují před nezabezpečenými stránkami. V jednom z dřívějších článků jsme rozebírali také to, jak vlastně takové zabezpečení funguje a jaké typy SSL certifikátů si můžete pořídit.
