Сокращение сроков действия SSL-сертификатов
Через месяц вступает в действие принятое CA/Browser Forum в апреле 2025 года решение о поэтапном сокращении максимального срока действия публичных SSL/TLS‑сертификатов с текущих 398 дней до всего 47 дней к 15 марта 2029 года. Решение основано на инициативе Apple (бюллетень SC‑081 [1]). Среди проголосовавших «за» Google, Microsoft, Mozilla, Amazon, DigiCert, GlobalSign, GoDaddy, Visa. Воздержалось пятеро участников.
Уже с 15 марта 2026 года максимальный срок действия SSL-сертификатов будет сокращён до 200 дней:
| Дата | Срок действия SSL/TLS-сертификатов (максимум) |
| До 15 марта 2026 года | 398 дней |
| С 15 марта 2026 года | 200 дней |
| С 15 марта 2027 года | 100 дней |
| С 15 марта 2029 года | 47 дней |
Декларируемая мотивация изменений — снижение риска эксплуатации скомпрометированных ключей, более быстрая замена устаревших алгоритмов шифрования, неверных данных в полях сертификатов.
Для ИТ-подразделений нововведение означает кратное увеличение операционной нагрузки за контролем актуальности сертификатов. Если до сих пор достаточно было неутомительно обновить сертификат один раз в год, то с 2029 года эту процедуру придётся проводить раз в полтора месяца — рост нагрузки почти в 10 раз.
По различным причинам далеко не во всех конфигурациях можно автоматизировать проверку и обновление сертификатов через интернет. Например, это будет невозможно сделать во внутренних сетях предприятий, в которых доступ в интернет отсутствует по соображениям безопасности, или на серверах, доступных только из локальной сети.
Такое решение CA/Browser Forum приведёт к сокращению использования доверенных сертификатов, так как их постоянное обновление станет слишком обременительным. Некоторые ИТ-специалисты решат перейти на самоподписанные сертификаты, а многие хосты останутся с просроченными SSL/TLS.
Вместо декларируемых благих целей нововведение негативным образом скажется на общем уровне информационной безопасности в сети. В результате продажи SSL/TLS‑сертификатов от удостоверяющих центров (УЦ) снизятся, что приведёт к росту цен на них. Зато вырастут продажи ПО управления PKI от тех же УЦ. Заказчики будут вынуждены приобретать системы управления инфраструктурой публичных ключей (PKI) для автоматизации постоянного перевыпуска сертификатов.
Certification Authority Browser Forum (CA/B Forum) это основанная в 2005 году организация, целью которой заявлена разработка отраслевых стандартов интернет-безопасности для центров сертификации и потребителей сертификатов, таких как веб-браузеры. В неё входят более 50 удостоверяющих центров, 11 производителей пользовательского программного обеспечения и региональные организации как, например, ETSI (European Telecommunications Standards Institute — Европейский институт по стандартизации в области телекоммуникаций).
Максимальные сроки действия сертификатов Code Signing с 1 марта 2026 года сократятся с 39 месяцев для 460 дней, сертификатов S/MIME – 27 месяцев. Уже выпущенные сертификаты будут продолжать действовать до указанного в них срока.
Источники:
- CA/Browser Forum. Ballot SC081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods. https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/