Přeskočit obsah

Zkracování platnosti TLS certifikátů

Platnost veřejně důvěryhodných SSL/TLS certifikátů se začne od března 2026 zkracovat z dnešních cca 13 měsíců nejdříve na 200 dní a postupně až na 47 dní v roce 2029. V nejbližší fázi zkrácení platnosti na 200 dní pro vás nevyplývají žádné dodatečné provozní požadavky – životní cyklus certifikátů (vydávání, obnova i nasazení) bude probíhat jako doposud.

Co se mění a proč

  • Od 15. 3. 2026 budou nové veřejné SSL/TLS certifikáty (DV/OV/EV) vydávány maximálně na 200 dní místo současných 398 dní.
  • V dalších letech se platnost zkrátí na 100 dní (2027) a následně na 47 dní v roce 2029.
  • Důvodem je vyšší bezpečnost: kratší platnost zmenšuje prostor pro zneužití kompromitovaných nebo chybně vydaných certifikátů a urychluje nasazování nových bezpečnostních standardů.

Výsledkem je, že certifikáty se budou obnovovat častěji, ale prostředí bude dlouhodobě bezpečnější.

Co to znamená pro vás

  • Zkrácení platnosti na 200 dní budeme z hlediska správy řešit interně, bez změny vašeho běžného fungování – certifikáty budeme nasazovat a obnovovat jako doposud.
  • U Let’s Encrypt certifikátů už dnes používáme plně automatizované vydávání a obnovování a připravujeme se i na nový mechanismus DNS‑PERSIST‑01, který Let’s Encrypt zavádí pro dlouhodobé a stabilní ověřování domén bez nutnosti opakovaných zásahů do DNS. DNS‑PERSIST‑01 funguje tak, že do DNS stačí jednou přidat trvalý ověřovací záznam, který je svázaný s konkrétní certifikační autoritou a ACME účtem, a ten pak může certifikáty pro danou doménu vydávat opakovaně bez dalších DNS změn. Tato metoda ověření by měla být dostupná ve druhé polovině roku 2026. Očekáváme mimo jiné i zjednodušení vydávání wildcard Let’s Encrypt certifikátů, které je aktuálně komplikovanější kvůli nutnosti opakovaných DNS změn.
  • U komerčních (placených) certifikátů připravujeme obdobnou automatizaci, aby i s kratší platností probíhala obnova hladce a bez výpadků služeb.

Jaké kroky podnikáme

  • Sledujeme oficiální harmonogram CA/Browser Fora a hlavních certifikačních autorit a průběžně přizpůsobujeme naše procesy.
  • Rozšiřujeme automatizaci i na komerční certifikáty tak, aby ověření domén, vydání certifikátu i jeho nasazení probíhalo maximálně automatizovaně.
  • O dalších významnějších změnách (např. přechod na kratší platnosti kolem 100 a 47 dní) vás budeme s předstihem informovat.

Naším cílem je, abyste měli své služby zabezpečené moderními certifikáty, ale zároveň se nemuseli o jejich životní cyklus starat.