TLS/SSL sertifikati od marta 2026. dobijaju kraći životni vek

TLS sertifikati u današnjem obliku postoje već više od 25 godina za sve to vreme u osnovi se nisu mnogo menjali. Razlika je uglavnom bila u nivou bezbednosti koji se vremenom povećavao, kao i u njihovom životnom veku. 

U početku su važili po nekoliko godina, zatim je njihovo maksimalno trajanje ograničeno na jednu godinu, da bi se na kraju sve više prelazilo na kraće periode važenja od 90 dana, naročito kod automatizovanih sertifikata poput Let’s Encrypt-a. 

Od ove godine, kod komercijalnih sertifikata počinju neke značajnije promene koje će prvenstveno imati uticaj na period važenja TLS sertifikata.

Naime, u aprilu 2025. godine CA/Browser Forum, zvanično telo nadležno za sertifikate, je usvojilo izmene kojima će maksimalni rok važenja TLS sertifikata postepeno da se skraćuje.

Prve konkretne posledice ovih odluka počinju da se osećaju već od marta 2026.

Skraćivanje trajanja TSL/SSL sertifikata na 47 dana

Usvojeni raspored skraćivanja izgleda ovako:

• do 15. marta 2026. maksimalni lifetime TLS sertifikata ostaje 398 dana.
• od 15. marta 2026. maksimalni lifetime se skraćuje na 200 dana. Kod Digicert-a, već od 24. februara lifetime se skraćuje na 199 dana.
• od 15. marta 2027. maksimalni lifetime se skraćuje na 100 dana
• od 15. marta 2029. maksimalni lifetime iznosi 47 dana

Šta ovo znači za korisnike TLS/SSL sertifikata?

Mnoga sertifikaciona tela su već počela da primenjuju ova pravila, pa tako, kod Digicert-a, već od 24. februara neće moći da se kupi SSL čiji je lifetime duži od 199 dana. Svi sertifikati koji su na čekanju 24.02. će biti skraćeni na lifetime od 199 dana. Porudžbine napravljene i izvršene pre ovog datuma će se validirati kao i ranije, u periodu do 398 dana.

Ove izmene ne podrazumevaju nikakvu doplatu za postojeće sertifikate niti promenu trajanja sertifikata izdatih pre početka marta. Odnosi se samo na nove sertifikate i na postojeće kod kojih se uradi reissue.

Dakle, sertifikati će se i nakon marta meseca (kada počinju skraćenja trajanja) i dalje zakupljivati na period od godinu dana (neće moći da se zakupljuju na više godina) ali će se češće raditi reizdavanje. Kao i do sada, lifetime sertifikata će se produžavati tako što uradi reissue pre isteka perioda važenja od (trenutno) 199 dana nakon čega se stari zameni reizdatim na lokaciji gde je postavljen.

Kod OV (Organization Validation) i EV (Extended Validation) sertifikata dodatno se skraćuje i period važenja Subject Identity Information (naziv kompanije, pravni identitet i slično), sa 825 na 398 dana. DV (Domain Validation) sertifikati tu nisu pogođeni jer nemaju te podatke, ali suština je ista: ni identitet, ni kontrola domena se više ne smatraju dugoročno pouzdanim bez česte ponovne provere.

Zašto baš 47 dana

Na prvi pogled, 47 dana deluje kao radikalna odluka. U praksi, broj dana je najmanje važan deo ove promene. Suština je pre svega u bezbednosnoj logici koja stoji iza nje.

Problem koji se rešava nije samo kompromitovan privatni ključ. Mnogo veći problem je to što podaci u sertifikatima vremenom postaju zastareli ili netačni. Domen može da promeni vlasnika, DNS, infrastrukturu ili namenu, a sertifikat i dalje ostaje validan ako se oslanjamo na dugačke rokove.

Drugi, jednako važan razlog je činjenica da se CRL (Certificate Revocation List) i OCSP (Online Certificate Status Protocol), sistem opoziva sertifikata u praksi pokazao kao nepouzdan. Browseri često ignorišu probleme sa revokacijom, a kompromitovani sertifikati mogu ostati prihvaćeni sve do isteka. Kraći životni vek sertifikata direktno smanjuje taj period rizika, čak i kada opoziv ne funkcioniše kako je zamišljeno.

Zbog toga se industrija sertifikata poslednjih godina pomera ka ideji da je bolje da sertifikat sam brzo istekne, nego da se oslanjamo na to da će svaki klijent ispravno proveriti njegov opoziv.

Let’s Encrypt je skratio rok važenja TLS/SSL sertifikata na 6 dana

Dok se industrijski standardi uvode postepeno, Let’s Encrypt je već otišao korak dalje. Kratkotrajni sertifikati koji važe 160 sati, odnosno nešto više od šest dana, danas su već dostupni u produkciji.

Ovi sertifikati se dobijaju jednostavnim izborom shortlived profila u ACME klijentu. Ne zahtevaju poseban proces, već pretpostavljaju da je obnova sertifikata već automatizovana.

Kratkotrajni sertifikati značajno smanjuju bezbednosni rizik. Ako dođe do kompromitacije privatnog ključa, prozor u kome napadač može da ga zloupotrebi meri se danima, a ne mesecima. Time se dodatno smanjuje oslanjanje na nepouzdane mehanizme revokacije.

Važno je naglasiti da ovi sertifikati nisu nametnuti svima. Oni su trenutno opt-in i namenjeni su onima koji već imaju zreo, automatizovan proces. 

Let’s Encrypt je istovremeno potvrdio da će i njihovi standardni sertifikati u narednim godinama prelaziti sa 90 dana na oko 45 dana, dodatno se usklađujući sa pravcem koji je postavio CA/Browser Forum.

Zaključak

TLS sertifikati su definitivno izašli iz faze kada ih jednom postavimo i na neko duže vreme zaboravimo na njih. Oni sada postaju kratkotrajni, dinamični resursi koji se stalno obnavljaju i proveravaju. CA/Browser Forum je jasno zacrtao put ka 47 dana, a Let’s Encrypt je već krenuo sa šestodnevnim sertifikatima i TLS identitetima vezanim za IP adrese.

Za timove koji su već automatizovali upravljanje sertifikatima, ove promene neće biti dramatične. Međutim, za one koji se i dalje oslanjaju na ručne procese, naredne godine će doneti sve češće probleme.

Ako danas dizajnirate novu aplikaciju, platformu ili infrastrukturni sloj, pitanje više nije da li ćete automatizovati TLS, već da li je vaša automatizacija dovoljno zrela da izdrži sertifikate koji če važiti kraće od mesec dana.

Ukoliko kojim slučajem razmatrate i kupovinu SSL sertifikata, predlažemo da pogledate našu ponudu SSL sertifikata.

Na kraju, ako želite da saznate dodatno o SSL/TLS sertifikatima predlažemo da pročitate naš tekst Koja je razlika između TLS-a i SSL sertifikata.