Přichází další zkrácení platnosti TLS certifikátů

22. 1. 2025 | Jindřich Zechmeister

Zkrácení platnosti SSL/TLS certifikátů už proběhlo za posledních 10 let několikrát. Nyní je ve hře zkrácení až na 45 dní, což by znamenalo výměnu TLS certifikátu až 9x za rok ! S námi se ho ale nemusíte bát. Co to pro vás znamená a jak tuto situaci řešit, se dozvíte v tomto článku.

Historie zkracování certifikátů

V počátcích SSL certifikátů chyběl jasný regulátor celého odvětví, kterým je dnes konsorcium CA/Browser Forum. To vzniklo v roce 2005 a prvním výsledkem jejich činnosti byla o dva roky později pravidla pro EV certifikáty, které tímto vznikly.

Nedlouho poté se začala diskutovat maximální platnost SSL certifikátů, protože jeden pár klíčů mohl být používán řadu let beze změny, což nepřispívá k bezpečnosti uživatelů. V roce 2015 byla maximální platnost snížena na 3 roky (39 měsíců); do té doby se vydávaly certifikáty i na 4-5 let. Další zkrácení přišlo v březnu 2018, kdy byla platnost omezena na 27 měsíců (825 dní).

Od září 2020 proběhlo další zkrácení. Společnosti Apple, Google a Mozilla prosadily, že prohlížeče budou považovat certifikáty starší než 398 dní za neplatné, což fakticky nastavilo maximální platnost na 1 rok a pár dní navíc. Tento stav platí doposud, ale odborníci předpokládali, že v budoucnu k dalšímu zkrácení ještě dojde.

Nyní jsou opět Apple s Googlem v čele další vlny zkracování a jejich návrhy se projednávají na plénu CA/Browser Fora. Zatím nebylo nic závazně rozhodnuto, ale návrh Apple je ještě odvážnější než ten od Google, který chtěl zkrácení na 90 dní. Nyní je platnost certifikátu omezena na 398 dní.

Apple navrhuje zkrácení certifikátů na 47 dní a chce toho dosáhnout postupně. Nové certifikáty by měly maximální platnost zkrácenou natřikrát:

• 200 dnů s účinností od března 2026
• 100 dnů od března 2027
• 47 dnů od března 2028

Lze očekávat, že tato podoba bude nakonec zavedena. Dříve se již stalo, že si Apple prosadil svou, když jeho návrh nebyl přijat; všichni se mu stejně přizpůsobili, protože jeho prohlížeč má nezanedbatelný podíl na trhu.

Jak se na zkrácení připravit

Automatizujte životní cyklus certifikátů v předstihu - to je jediná rada, kterou vám můžeme dát. Zavedení automatizace certifikátů nemusí být náročné a zatím je na něj dost času. Můžeme vám nabídnout několik způsobů automatizace certifikátů, všechny jsou v praxi ověřené a funkční.

Doporučujeme vám tyto způsoby automatizace:

• ACME protokol - standardní protokol pro získání certifikátů, funguje pomocí tzv. ACME klientů, kterých na trhu existuje velké množství. Klient většinou umí nejen certifikát získat, ale i nasadit na server.
• DigiCert Automation Manager - agent/sensor based automatizace s použitím rozhraní CertCentral. Nad certifikáty na svých serverech máte přehled a můžete je v rozhraní i ovládat. Agenti je pak na serverech za vás spravují.
• Trust Lifecycle Manager v rámci DigiCert ONE je komplexní nástroj a dokáže se napojit na populární nástroje a služby třetích stran. Usnadňuje tak integraci zejména pro velké společnosti.
• KeyTalk CKMS server či služba. Certifikáty si dokáže sám zajistit a nasadit na koncová zařízení ve vaší firmě. Lze použít pro automatizaci TLS, ale i S/MIME certifikátů.
• Vlastní integrací naší API či API CA DigiCert.

První čtyři příklady dokáží spravovat celý životní cyklus certifikátu, tzn. od získání certifikátu, po jeho vystavení až k nasazení (na kompatibilní server). Pokryto je tedy vše a nemusíte se o nic starat. Pokud byste vytvořili vlastní automatizaci a implementovali naše API, tak certifikát získáte, ale nasazení na server je stále ve vaší režii.

Neváhejte se s námi spojit co nejdříve a nechte si poradit, jak automatizovat své TLS certifikáty už dnes bez nákladů navíc.

Proč se zkrácení děje?

Apple a Google jsou přesvědčeni o tom, že zkrácení certifikátů obecně pomůže bezpečnosti na internetu. Níže najdete několik hlavních argumentů pro zkrácení; nejčastěji skloňovaným přínosem je zvýšení bezpečnosti uživatelů díky častější rotací klíčů.

Výhody kratších certifikátů

Certifikáty s kratší platností přispívají ke zlepšení bezpečnosti, protože mohou v případě potřeby rychleji přinést nové technologie. Takovým scénářem může být například přechod na post-kvantovou kryptografii (PQC) po prolomení RSA kvantovým počítačem (to nás určitě v budoucnosti čeká). Kratší platnost certifikátu zajistí, že se nové algoritmy dostanou na servery rychleji.

Dalším důvodem může být minimalizace škod při kompromitaci klíčů. Pokud dojde k úniku soukromého klíče, kratší platnost omezí časový prostor, kdy může být kompromitovaný certifikát zneužit (oběť o kompromitaci většinou často ani neví).

Důležitý je také rozvoj automatizace životního cyklu certifikátů, který je tímto značným tlakem urychlován. Správci certifikátů jsou nuceni automatizaci certifikátů používat, což je ale v důsledku v jejich prospěch.

Nevýhody

Mezi hlavní nevýhody patří zvýšená zátěž správy. Většinou vyřeší automatizace, ale vždy budou známy případy, kdy to není snadné ani možné. U systémů, které momentálně automatizaci nepodporují, bude nutné čekat na doplnění podpory ze strany výrobce; správci budou do té doby certifikáty spravovat ručně a budou mít více práce. Organizace, které nebudou mít zavedenou automatizaci správy certifikátů, mohou být ochromeni častějším obnovováním certifikátů.

Problém dozajista nastane i u IoT zařízení, které nebyly vyrobeny s přihlédnutím ke kratšímu životnímu cyklu certifikátů. Pokud nebudou aktualizovány, tak pravděpodobně dojde ke kolizi těchto zařízení a použitých certifikátů s moderními prohlížeči.

Neváhejte s námi automatizaci konzultovat

Blížící se zkrácení certifikátů je velkou změnou, ale s námi to nemusí být problém. Obraťte se na nás a začněte certifikáty automatizovat; čím dřív tak učiníte, tím lépe pro vás!