Interneti turbestandardid muutuvad ning lähiaastatel lüheneb SSL/TLS sertifikaatide kehtivusaeg. Muudatuse eesmärk on parandada veebiturvalisust ja vähendada riski, et aegunud või kompromiteeritud sertifikaate saaks liiga kaua kasutada.
Alates 2026. aasta märtsist hakkavad sertifikaadi väljastajad (CA-d) andma välja lühema kehtivusajaga SSL/TLS sertifikaate. Muudatus toimub järk-järgult kuni 2029. aastani.
Miks SSL sertifikaatide eluiga lüheneb?
Muudatus tuleneb veebibrauserite arendajate ja sertifikaadi väljastajate ühisest otsusest, mida koordineerib CA/Browser Forum.
Eesmärk on:
-
muuta veebiturve dünaamilisemaks
-
vähendada kompromiteeritud sertifikaatide kasutamise riski
-
kontrollida sertifikaate ja domeeniandmeid sagedamini
Selle suuna üks varasemaid näiteid on Let’s Encrypt, mis kasutab juba aastaid 90-päevase kehtivusajaga sertifikaate.
Sertifikaadi kehtivusaja muudatused
Sertifikaatide maksimaalne kehtivusaeg väheneb järgmise ajakava järgi:
-
398 päeva (enne 2026. aasta märtsi) – umbes 1 sertifikaadi uuendamine aastas
-
200 päeva (alates märtsist 2026) – umbes 2 sertifikaadi uuendamist aastas
-
100 päeva (alates 15. märtsist 2027) – umbes 4 uuendamist aastas
-
47 päeva (alates 15. märtsist 2029) – umbes 8 uuendamist aastas
See tähendab, et sertifikaadi uuendamine muutub senisest sagedasemaks.
Mida see tähendab klientidele?
Praktikas tähendab see kahte peamist muudatust:
1. Sertifikaadi uuendamine toimub sagedamini
SSL/TLS sertifikaate tuleb tulevikus sagedamini uuendada, et veebileht püsiks turvaline ja brauserid seda usaldaksid.
2. Automaatne sertifikaadi uuendamine muutub oluliseks
Kuna sertifikaatide eluiga lüheneb, on kõige mugavam kasutada lahendusi, mis teevad sertifikaadi uuendamise automaatselt.
Enamasti ei pea kliendid ise midagi tegema. Näiteks Let’s Encrypt sertifikaadid, mida Zone pakub oma klientidele tasuta, uuenevad juba automaatselt.
Kui ostate sertifikaadi Zonest, saadame enne 200-päevase sertifikaadi aegumist teavituse koos info ja juhistega sertifikaadi uuendamiseks.
Tulekul: automaatne sertifikaadi uuendamine
Töötame ka lahenduse kallal, mis võimaldab tasuliste SSL/TLS sertifikaatide automaatset uuendamist ACME standardi abil.
See tähendab, et tulevikus saab:
-
kasutada Zone serverites tasulisi sertifikaate ilma käsitsi uuendamata
-
seadistada oma serveris ACME URL, mis uuendab sertifikaadi automaatselt
Jagame Zone automaatse sertifikaaditeenuse kohta peagi täpsemat infot.
Domeeni valideerimist kontrollitakse sagedamini
Lisaks sertifikaadi kehtivusajale lüheneb ka periood, mille jooksul saab sama domeeni valideerimist (DCV) kasutada.
Uued peroodid on järgmised:
-
200 päeva – alates 2026
-
100 päeva – alates 2027
- 10 päeva – alates 2029
See tähendab, et sertifikaadi uuendamisel kontrollib sertifikaadi väljastaja sagedamini, kas domeen on endiselt teie kontrolli all.
Domeeni valideerimine võib toimuda näiteks:
-
DNS kirje kontrolliga
-
HTTP challenge meetodil
- ACME automaatse protsessi kaudu
Muudatus puudutab ka OV ja EV sertifikaate – nende puhul tuleb organisatsiooni valideerimine edaspidi teha iga 398 päeva tagant