bg-blog-articles

От 398 дней до 47: что означают новые сроки действия SSL-сертификатов

Срок действия SSL-сертификатов меняется, и этот процесс уже начался. Отрасль отказывается от долгосрочных сертификатов в пользу значительно более коротких сроков действия, что требует принципиально иного подхода к управлению SSL/TLS.

Это не незначительное обновление. Сокращение срока действия SSL увеличивает частоту выпуска сертификатов, проверки доменов и обработки продлений. Процессы, рассчитанные на годовые циклы, перестают работать в условиях более жёстких временных рамок.

В этой статье объясняется, что изменилось, почему отрасль пошла на этот шаг и что это означает на практике. Вы также узнаете, как адаптироваться к этим изменениям с помощью инструментов, специально разработанных для новой эры автоматизации SSL.


Содержание

  1. Хронология срока действия SSL-сертификатов: что изменилось
  2. Почему сроки действия SSL-сертификатов сокращаются
  3. Что означает сокращение срока действия SSL на практике
  4. Сокращение сроков действия затронет и сертификаты подписи кода
  5. Как подготовиться к предстоящим изменениям срока действия SSL

Хронология срока действия SSL-сертификатов: что изменилось

CA/Browser Forum утвердил фиксированный график, сокращающий максимальный срок действия SSL/TLS-сертификатов.

  • До 14 марта 2026 года: максимальный срок действия составлял ~398 дней
  • С 15 марта 2026 года: максимальный срок действия составляет 200 дней
  • С 15 марта 2027 года: максимальный срок действия составит 100 дней
  • С 15 марта 2029 года: максимальный срок действия составит 47 дней

Эти ограничения распространяются на все сертификаты, выпущенные публичными удостоверяющими центрами (CA).

Периоды повторного использования данных валидации также меняются

Периоды повторного использования данных валидации определяют, как долго CA может опираться на ранее выполненную проверку домена при выпуске нового SSL-сертификата. Проще говоря, срок действия сертификата контролирует как долго сертификат остаётся активным, тогда как период повторного использования данных валидации контролирует как долго подтверждение владения доменом остаётся приемлемым для выпуска новых сертификатов. Это два разных уровня процесса.

Согласно новым правилам CA/Browser Forum, периоды повторного использования данных валидации сокращаются вместе со сроками действия сертификатов. Это означает, что CA должны чаще проверять контроль над доменом, а не полагаться на устаревшие записи валидации. К 2029 году периоды повторного использования сократятся до 10 дней, что фактически обязывает проводить валидацию при каждом выпуске сертификата.

  • С 15 марта 2026 года: период повторного использования данных валидации ограничен 200 днями
  • С 15 марта 2027 года: сокращается до 100 дней
  • С 15 марта 2029 года: сокращается до 10 дней

Вам придётся чаще продлевать сертификаты и регулярнее проходить повторную валидацию доменов.


Почему сроки действия SSL-сертификатов сокращаются

Отрасль ограничивает срок действия SSL, чтобы отразить скорость изменений в современной инфраструктуре. Сертификаты больше не лежат годами на статичных серверах. Домены переходят между провайдерами, конфигурации обновляются, а право собственности или контроль могут меняться значительно быстрее, чем прежде.

В то же время интернет опирается на сертификаты как на источник доверия. Если это доверие основано на устаревших данных, оно становится менее надёжным. Более короткие сроки действия сертификатов и периоды повторного использования данных валидации позволяют поддерживать актуальность информации в сертификатах, сокращают время подверженности рискам и подталкивают управление сертификатами к более быстрым и контролируемым процессам.

  • Сертификаты — это снимок состояния в определённый момент времени — SSL-сертификаты фиксируют данные о владении доменом, инфраструктуре и контактную информацию, которые были актуальны на момент выпуска, но со временем могут устаревать. Более короткие сроки действия означают, что устаревшие данные остаются доверенными меньше времени.
  • Данные валидации должны оставаться актуальными — CA нужны актуальные записи о владении доменом для точного выпуска сертификатов. Повторное использование устаревших данных валидации увеличивает риск выпуска сертификатов на основе информации, которая уже не соответствует действительности, поэтому более частые проверки обеспечивают честность процесса.
  • Более короткие сроки действия ограничивают риски безопасности — Любой ошибочно выпущенный сертификат или скомпрометированный закрытый ключ может причинить вред лишь в течение срока своей действительности. Быстрые циклы продления сокращают это окно, ограничивая последствия инцидентов, которые зачастую невозможно полностью предотвратить.
  • Ручное управление не масштабируется — Когда сертификаты истекают каждые несколько недель или месяцев, ручные процессы продления попросту не справляются. Автоматизация перестаёт быть опциональной — она становится единственным реалистичным способом стабильно управлять циклом.

Что означает сокращение срока действия SSL на практике

Новые временные рамки для сертификатов обнажают слабые места в том, как сертификаты отслеживаются, выпускаются и развёртываются в реальной инфраструктуре.

Продления становятся операционной нагрузкой

Раньше один сертификат требовал внимания раз в год. Теперь тот же сертификат потребует действий три, шесть или даже десять раз за тот же период.

Возьмём типичную конфигурацию:

  • один сертификат на основном домене
  • один на API
  • один на тестовом окружении
  • один на внутренних сервисах

Это уже 4 и более сертификата. При более коротких сроках действия вам предстоит выполнить 20-40 операций продления, каждая из которых включает выпуск, валидацию и развёртывание. Именно здесь математика начинает работать против вас.

Валидация потребует значительно большего внимания

Вот как будет выглядеть типичное продление после вступления новых правил в силу:

  • продление запускается в расчёте на автоматический выпуск
  • CA требует свежей валидации домена
  • необходимо обновить DNS- или HTTP-записи валидации
  • конвейер развёртывания останавливается до завершения валидации

Умножьте это на десятки доменов и несколько окружений — и продления перестают быть рутиной. Они становятся непредсказуемыми, а в системах, построенных на CI/CD-конвейерах, автоматизированных развёртываниях или инфраструктуре как коде, один неавтоматизированный шаг валидации способен заблокировать весь процесс.

Ручное отслеживание ломается при перекрытии сроков

Таблицы, напоминания в календаре и временные процессы становится всё сложнее поддерживать по мере роста частоты продлений.

Пример:

  • Сертификат A истекает через 60 дней
  • Сертификат B истекает через 45 дней
  • Сертификат C истекает через 30 дней

Теперь повторите это для десятков сертификатов. Напоминания накапливаются. Дедлайны перекрываются. И прежде чем вы это осознаете, вы начинаете реагировать вместо того, чтобы управлять. Когда множество событий конкурируют одновременно, пропустить срок действия сертификата становится весьма вероятным.

Сертификаты начинают выпадать из поля зрения

Большинство команд недооценивают реальное количество используемых ими сертификатов. Реальная среда нередко включает:

  • сертификат CDN (граничный узел)
  • сертификат балансировщика нагрузки
  • сертификат исходного сервера
  • сертификаты внутренних сервисов
  • сторонние интеграции

У каждого из них свой жизненный цикл. Без инструментов обнаружения и инвентаризации вы теряете видимость. Это приводит к типичной схеме сбоев:

  • «Основной сайт работает, но API выдаёт ошибки SSL».
  • «Фронтенд в порядке, сертификат бэкенда истёк».

Пробелы в развёртывании создают ложную уверенность

Сертификат может быть успешно выпущен и при этом так и не попасть в нужное место. Скрипт развёртывания выполняется частично, балансировщик нагрузки обновляется, а исходный сервер — нет, и внезапно поведение системы становится непоследовательным. Одни пользователи подключаются без проблем, другие сталкиваются с ошибками сертификата. Такие сбои особенно сложно диагностировать, поскольку они не проявляются единообразно.

Начиная с определённого масштаба, управление сертификатами перестаёт укладываться в чеклист. Оно требует инвентаризации для отслеживания существующих сертификатов, мониторинга для выявления истекающих, автоматизации для обработки продлений и надёжного развёртывания, чтобы сертификаты попадали в нужные места.


Сэкономьте 10% на SSL-сертификатах, сделав заказ в SSL Dragon сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузерам, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Детальное изображение дракона в полете

Сокращение сроков действия затронет и сертификаты подписи кода

Сертификаты подписи кода движутся в том же направлении, что и SSL: сроки действия сокращаются, а требования к хранению закрытых ключей и управлению ими ужесточаются.

DigiCert и GoGetSSL теперь выпускают сертификаты подписи кода сроком только на один год, при этом клиенты либо используют собственный аппаратный модуль безопасности, либо заказывают физический токен.

Sectigo придерживается аналогичной модели — один год при использовании токена, однако варианты на один, два или три года становятся доступны при управлении ключами через собственный HSM, например YubiKey.

Закономерность последовательна: более длительный срок действия напрямую связан с более строгим контролем над ключами. Чем жёстче требования к хранению, тем больше гибкости в выборе срока получает клиент. Это отражает ту же логику, которая движет изменениями в SSL. Более короткие сроки действия и улучшенное управление ключами сокращают окно уязвимости и в целом укрепляют доверие к подписанному программному обеспечению.


Как подготовиться к предстоящим изменениям срока действия SSL

Более короткий срок действия сертификатов требует структурированных процессов. Правильный подход зависит от масштаба и сложности инфраструктуры.

ACME: лучший выбор для непрерывной автоматизации

ACME (Automated Certificate Management Environment) — это стандартизированный протокол, позволяющий серверам и приложениям автоматически запрашивать, проверять, выпускать и продлевать SSL/TLS-сертификаты. Вместо ручных шагов — генерации CSR, подтверждения по электронной почте или загрузки файлов — системы взаимодействуют с CA напрямую через API-ориентированные рабочие процессы.

На практике ACME-сертификаты управляют полным жизненным циклом. Они подтверждают контроль над доменом с помощью HTTP- или DNS-проверок, получают сертификат, устанавливают его и продлевают до истечения срока действия без участия человека.

Лучше всего подходит для сред, где:

  • инфраструктура часто меняется (облако, контейнеры, микросервисы)
  • развёртывания выполняются через CI/CD-конвейеры
  • несколько доменов или сервисов требуют непрерывного обновления сертификатов

RapidSSL AutoInstall: упрощённая автоматизация для стандартных серверных конфигураций

AutoInstall SSL упрощает управление сертификатами в серверных средах. Вместо ручной загрузки, редактирования конфигураций и повторяющихся шагов установки он интегрируется непосредственно с хостинговыми панелями для автоматического развёртывания.

На практике он работает в таких платформах, как cPanel, Plesk и аналогичных хостинговых панелях, где сертификаты управляются на уровне сервера. После настройки он может обрабатывать выпуск и продление, обеспечивая корректную установку и применение сертификатов без ручного вмешательства в каждом цикле.

Лучше всего подходит для конфигураций, где:

  • серверы используют панели управления или управляемые хостинговые стеки
  • управление сертификатами происходит на уровне сервера, а не через пользовательскую инфраструктуру
  • команды хотят сократить повторяющуюся работу по настройке, не перестраивая рабочий процесс вокруг API-автоматизации.

DigiCert CertCentral TLS Manager: лучший выбор для растущих команд

CertCentral TLS Manager — это централизованная платформа для управления полным жизненным циклом SSL-сертификатов в организации. Она предоставляет единый интерфейс для выпуска, отслеживания, продления и замены сертификатов из одного места.

Вы можете отслеживать сроки истечения, обнаруживать сертификаты, уже развёрнутые в инфраструктуре, и управлять продлениями. Платформа также поддерживает автоматизацию через API и интеграции ACME, позволяя выпускать и продлевать сертификаты без ручного вмешательства при сохранении централизованного контроля.

Лучше всего подходит для сред, где:

  • несколько команд или систем запрашивают сертификаты и управляют ими
  • инвентаризация сертификатов перестала быть полностью прозрачной
  • циклы продления начинают перекрываться между разными сервисами
  • централизованное отслеживание и управление политиками становятся необходимостью

CertCentral не заменяет автоматизацию на уровне инфраструктуры, такую как ACME. Вместо этого он добавляет уровень управления поверх неё.

DigiCert Trust Lifecycle Manager: лучший выбор для корпоративного масштаба

Trust Lifecycle Manager расширяет управление сертификатами за пределы публичного SSL/TLS и превращает его в единую систему управления доверием в масштабах всей организации. Вместо управления сертификатами в разрозненных инструментах он объединяет публичные сертификаты, частную PKI и внутренние идентификаторы в единую контролируемую структуру.

Он также интегрируется с корпоративной инфраструктурой — системами управления идентификацией, облачными платформами и DevOps-конвейерами, — благодаря чему операции с сертификатами становятся частью существующих рабочих процессов, а не отдельным процессом.

Лучше всего подходит для сред, где:

  • использование сертификатов охватывает публичные и частные системы
  • несколько команд или подразделений управляют собственными сертификатами
  • инфраструктура включает облачные, локальные и гибридные конфигурации
  • важны требования к управлению, соответствию нормативным требованиям и аудиту

В таком масштабе задача состоит не только в продлении, но и в обеспечении видимости, контроля и согласованности для сотен или тысяч сертификатов.


Заключение

Эпоха принципа «настроил и забыл» в веб-безопасности официально завершилась. Мы уходим от сертификатов, действующих годами, к миру, где они истекают уже через несколько недель.

Обратный отсчёт уже идёт. Компании, которые по-прежнему пытаются справляться с этими обновлениями вручную, почувствуют давление по мере накопления дедлайнов. С другой стороны, команды, которые перейдут к более плавному и автоматизированному рабочему процессу, едва ли заметят разницу. Более короткие сроки действия — это новая реальность, и единственный путь вперёд — перестать реагировать и начать выстраивать системный подход.

SSL Dragon предлагает решения для автоматизации, подходящие для любой конфигурации — от простых серверных сред до сложных крупномасштабных инфраструктур. Независимо от того, нужна ли вам автоматизация на основе протокола ACME, упрощённое развёртывание или полное управление жизненным циклом, вы можете выбрать подход, соответствующий вашим потребностям, и держать сертификаты под контролем по мере ускорения циклов продления.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Детальное изображение дракона в полете
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.