Стандарты интернет-безопасности меняются, и в ближайшие годы срок действия SSL/TLS сертификатов будет сокращён. Цель этих изменений — повысить безопасность в интернете и снизить риск использования просроченных или скомпрометированных сертификатов в течение длительного времени.
Начиная с марта 2026 года центры сертификации (CA) начнут выдавать SSL/TLS сертификаты с более коротким сроком действия. Изменения будут внедряться постепенно до 2029 года.
Почему сокращается срок действия SSL/TLS сертификатов?
Это изменение является результатом совместного решения разработчиков веб-браузеров и центров сертификации, координируемого форумом CA/Browser Forum.
Цели:
-
сделать веб-безопасность более динамичной
-
снизить риск использования скомпрометированных сертификатов
-
чаще проверять сертификаты и данные домена
Одним из ранних примеров такого подхода является Let’s Encrypt, который уже много лет использует сертификаты со сроком действия 90 дней.
Изменения срока действия сертификатов
Максимальный срок действия сертификатов будет сокращаться по следующему графику:
-
398 дней (до марта 2026 года) — примерно 1 обновление в год
-
200 дней (с марта 2026 года) — примерно 2 обновления в год
-
100 дней (с 15 марта 2027 года) — примерно 4 обновления в год
-
47 дней (с 15 марта 2029 года) — примерно 8 обновлений в год
Это означает, что обновление сертификатов станет более частым.
Что это означает для клиентов?
На практике это означает два основных изменения:
1. Более частое обновление сертификатов
SSL/TLS сертификаты нужно будет обновлять чаще, чтобы сайт оставался безопасным и браузеры продолжали ему доверять.
2. Автоматическое обновление становится важным
Поскольку срок действия сертификатов сокращается, наиболее удобным решением становится автоматическое обновление.
В большинстве случаев клиентам не нужно ничего делать. Например, сертификаты Let’s Encrypt, которые Zone предоставляет своим клиентам бесплатно, уже обновляются автоматически.
Если вы покупаете сертификат в Zone, мы отправим уведомление до истечения 200-дневного сертификата с информацией и инструкциями по обновлению.
В разработке: автоматическое обновление сертификатов
Мы также работаем над решением, которое позволит автоматически обновлять платные SSL/TLS сертификаты с использованием стандарта ACME.
Это означает, что в будущем вы сможете:
-
использовать платные сертификаты на серверах Zone без ручного обновления
-
настроить ACME URL на своём сервере для автоматического обновления сертификатов
Скоро мы поделимся более подробной информацией об автоматическом сервисе сертификатов Zone.
Проверка домена будет выполняться чаще
Помимо срока действия сертификата, также сокращается период, в течение которого можно использовать уже выполненную проверку домена (DCV).
Новые сроки:
-
200 дней — с 2026 года
-
100 дней — с 2027 года
-
10 дней — с 2029 года
Это означает, что при обновлении сертификата центр сертификации будет чаще проверять, находится ли домен по-прежнему под вашим контролем.
Проверка домена может выполняться, например, через:
-
проверку DNS-записи
-
метод HTTP challenge
-
автоматический процесс ACME
Изменения также затрагивают сертификаты OV и EV — для них проверка организации должна будет выполняться каждые 398 дней.