SSL/TLS sertifikaatide eluiga lüheneb

TL;DR:
Interneti turbestandardid muutuvad ning SSL/TLS-sertifikaatide kehtivusaeg lüheneb järk-järgult. Muudatuse eesmärk on parandada veebiturvalisust ja vähendada riski, et aegunud või kompromiteeritud sertifikaate saaks liiga kaua kasutada.

Alates 2026. aasta märtsist hakatakse välja andma lühema kehtivusajaga SSL/TLS-sertifikaate. Aastatel 2026–2029 väheneb sertifikaadi eluiga seniselt 13 kuult 47 päevale ning see muudatus puudutab kõiki sertifikaatide väljastajaid.

Täpsem ajakava on järgmine:

• Sertifikaadi pikkus 398 päeva (enne 2026. aasta märtsi) – ligikaudu 1 pikendamine aastas
• Sertifikaadi pikkus 200 päeva (alates 2026. aasta märtsist) – ligikaudu 2 pikendamist aastas
• Sertifikaadi pikkus 100 päeva (alates 15. märtsist 2027) – ligikaudu 4 pikendamist aastas
• Sertifikaadi pikkus 47 päeva (alates 15. märtsist 2029) – ligikaudu 8 pikendamist aastas

Mida see klientide jaoks tähendab?

Praktikas tähendab see eelkõige kahte asja. Esiteks tuleb sertifikaate edaspidi sagedamini uuendada ja uuesti väljastada. Teiseks muutub automatiseerimine veelgi olulisemaks, et vältida olukorda, kus sertifikaat aegub ja veebileht muutub külastajatele ebaturvaliseks. Enamasti ei pea kliendid ise midagi tegema, sest paljud sertifikaadid (näiteks Let’s Encrypti omad) uuendatakse juba praegu automaatselt.

Zonest SSL/TLS-sertifikaate ostvad kliendid saavad enne olemasoleva 200-päevase sertifikaadi aegumist kindlasti teavituse koos infoga uue sertifikaadi kohta.

Lähitulevikus hakkame ACME-standardi baasil pakkuma ka SSL/TLS-sertifikaatide automaatikat. See võimaldab Zone hallatavates serveriteenustes kasutada tasulisi sertifikaate muretult ja ilma käsitsi vahetamiseta. Oma servereid kasutavatele klientidele pakume ACME-URL-i, mille korrektse seadistamise korral uueneb sertifikaat serveris automaatselt.

Zone poolt pakutava automaatse sertifikaaditeenuse kohta jagame peagi täpsemat infot.

Domeeni valideerimise (DCV) kordusperiood lüheneb samuti

Lisaks sertifikaadi kehtivusajale muutub ka periood, mille jooksul saab sama domeeni valideerimist uuesti kasutada. Kui seni oli selleks 398 päeva, siis edaspidi lüheneb kehtivus järk-järgult: 2026. aastal 200 päevale, 2027. aastal 100 päevale ning 2029. aastal vaid 10 päevale.

See tähendab, et sertifikaadi uuendamisel hakkab sertifitseerimiskeskus (CA) oluliselt sagedamini kontrollima, kas domeen on endiselt teie kontrolli all. Teisisõnu ei pea mitte ainult sertifikaati tihemini uuendama, vaid sama tihti tuleb läbida ka domeeni valideerimine.

Valideerimine võib toimuda erineval viisil, näiteks DNS-kirje põhise kontrolli kaudu, HTTP-challenge meetodil või automatiseeritud ACME-protsessi abil.

Oluline on märkida, et muudatus puudutab ka OV- ja EV-sertifikaate. Kui varem tuli organisatsiooni valideerimine uuesti teha 825 päeva järel, siis edaspidi tuleb see läbida iga 398 päeva tagant.

Muudatuste põhjus

SSL/TLS-sertifikaatide kehtivusaja lühendamise taga on peamiselt veebibrauserite arendajate ja sertifitseerimiskeskuste (CA-de) ühine otsus, mida koordineerib organisatsioon CA/Browser Forum. Just selles foorumis lepitakse kokku reeglid, mille alusel avalikult usaldatud TLS-sertifikaate väljastatakse.

Muudatuse üks peamisi eestvedajaid oli Google, kes tegi ettepaneku vähendada sertifikaatide maksimaalne kehtivusaeg 90 päevale, et muuta veebiturve dünaamilisemaks ning vähendada riski, et kompromiteeritud või aegunud andmetega sertifikaate kasutatakse liiga kaua. Arutelude käigus tuli Apple välja veelgi radikaalsema ettepanekuga vähendada kehtivusaeg 45 päevani.

Lõpuks jõuti kompromissini ning lepiti kokku, et maksimaalne kehtivusaeg langeb järk-järgult 47 päevani. See suund peegeldab laiemat trendi veebiturvalisuses: usaldusperioode lühendatakse, et sertifikaate ja nendega seotud valideerimisandmeid kontrollitaks sagedamini ning võimalike turvariskide mõju oleks ajaliselt piiratum.

Praktikas tähendab see ka seda, et sertifikaatide automatiseeritud väljastamine ja uuendamine muutub infrastruktuuri loomulikuks osaks – sarnaselt sellele, kuidas Let’s Encrypt on juba aastaid töötanud lühikese, 90-päevase kehtivusajaga sertifikaatidega.

Kuigi muudatused jõustuvad järk-järgult kuni 2029. aastani, on suund selge: SSL/TLS-sertifikaatide haldus liigub täieliku automatiseerimise suunas. Seetõttu arendame ka Zones lahendusi, mis aitavad sertifikaate automaatselt väljastada ja uuendada, et kliendid ei peaks neid tulevikus käsitsi haldama – olenemata sellest, kas sertifikaat on kasutusel Zone virtuaalserveris või mõne teise teenusepakkuja juures.