CA/Browser Forum (отраслевой орган, устанавливающий стандарты SSL-сертификатов) проголосовал в апреле 2025 года за постепенное сокращение максимального срока действия сертификатов с 398 дней до 47 дней к марту 2029 года. Это затрагивает все удостоверяющие центры — как платные, так и бесплатные.
Хронология
| Дата вступления в силу | Макс. срок действия | Макс. повторное использование DCV | Влияние |
|---|---|---|---|
| До марта 2026 | 398 дней (13 месяцев) | 398 дней | Текущее состояние |
| 15 марта 2026 | 200 дней | 200 дней | Платные CA должны выдавать более короткие сертификаты |
| 15 марта 2027 | 100 дней | 100 дней | Приближение к 90-дневной модели Let’s Encrypt |
| 15 марта 2029 | 47 дней | 10 дней | Все сертификаты требуют частого обновления |
Повторное использование DCV = как долго можно повторно использовать результат валидации домена. К 2029 году контроль домена должен повторно подтверждаться каждые 10 дней, даже если сертификат действителен 47 дней.
Почему это происходит
Кратковременные сертификаты безопаснее:
- Сокращение окна уязвимости — при компрометации ключа ущерб ограничен оставшимся сроком действия
- Быстрый отзыв — механизмы отзыва (CRL, OCSP) ненадежны; короткий срок действия делает их менее критичными
- Принудительная автоматизация — ручное обновление не масштабируется при 47 днях, что подталкивает отрасль к автоматизированному управлению сертификатами
- Актуальная валидация — частая проверка контроля домена быстрее выявляет устаревшие DNS, проданные домены или смену владельца
Apple предложила это изменение, и все четыре основных производителя браузеров (Apple, Google, Mozilla, Microsoft) проголосовали за.
Что это значит для вас
Если вы используете Let’s Encrypt (90-дневные сертификаты)
Немногое меняется прямо сейчас. Вы уже обновляетесь каждые 60-90 дней. К 2029 году частота обновлений увеличится с каждых 60 дней до примерно каждых 30 дней.
Необходимые действия: Убедитесь, что у вас настроена надежная автоматизация обновления (cron для Certbot, cron для acme.sh) или надежный ручной процесс (GetHTTPS с напоминаниями в календаре).
Если вы используете платные сертификаты (годовые)
Это более существенное изменение. К марту 2026 года максимальный срок действия сокращается до 200 дней. К 2029 году — до 47 дней, идентично модели Let’s Encrypt.
Необходимые действия: Начните планировать автоматизацию. Преимущество платных сертификатов в стоимости (более длительный срок = меньше обновлений) исчезает. Многие организации перейдут на бесплатные сертификаты Let’s Encrypt с автоматическим обновлением.
Если вы управляете множеством сертификатов
47-дневный срок действия для сотен доменов означает тысячи обновлений в год. Ручное управление становится невозможным.
Необходимые действия: Внедрите автоматизацию на основе ACME (Certbot, acme.sh или платформу управления сертификатами).
Конец эпохи «настроил и забыл»
Самое серьезное практическое последствие: вы больше не сможете купить годовой сертификат и забыть о нем. К 2029 году каждому сайту потребуется автоматический конвейер обновления или кто-то, кто будет вручную обновлять сертификаты каждый месяц.
Это уравнивает условия между бесплатными и платными CA — когда все обновляются каждые 47 дней, преимущество длительного срока действия платных сертификатов полностью исчезает.
Изменения в повторном использовании DCV (часто упускают из виду)
Тот же голос CA/B Forum также сокращает периоды повторного использования валидации контроля домена (DCV):
| Дата | Макс. повторное использование DCV |
|---|---|
| Текущий | 398 дней |
| Март 2026 | 200 дней |
| Март 2027 | 100 дней |
| Март 2029 | 10 дней |
Повторное использование DCV = как долго CA может повторно использовать предыдущий результат валидации домена. К 2029 году CA должен повторно подтверждать ваш контроль домена каждые 10 дней — даже если сертификат действителен 47 дней. Это означает, что валидация не может быть разовым событием; она должна быть полностью автоматизирована.
Для ACME-клиентов (GetHTTPS, Certbot, acme.sh) это происходит бесшовно — каждое обновление включает новый challenge. Для ручных процессов с коммерческими CA это добавляет значительную операционную нагрузку.
Как подготовиться сейчас
Если вы уже используете Let’s Encrypt + Certbot/acme.sh
Вы уже на 90-дневных сертификатах с автоматическим обновлением. Действий не требуется. Когда срок действия сократится до 47 дней, ваш cron-задание справится — оно уже проверяет дважды в день.
Если вы используете GetHTTPS (ручное обновление)
Сейчас вы обновляете примерно каждые 60 дней. С 47-дневными сертификатами это станет примерно каждые 30 дней. Варианты:
- Продолжить вручную — установите напоминания каждые 30 дней. Выполнимо для 1-3 доменов.
- Гибридный подход — используйте GetHTTPS для первого сертификата, затем установите Certbot для автообновления.
- Подождать и посмотреть — ограничение в 47 дней наступит в марте 2029 года. У вас есть время.
Если вы используете платные годовые сертификаты
Начните планировать сейчас:
- Оцените Let’s Encrypt — к 2029 году платные и бесплатные сертификаты будут иметь одинаковую частоту обновления. Стоит ли платить?
- Внедрите автоматизацию ACME — даже коммерческие CA поддерживают ACME (DigiCert, Sectigo)
- Заложите бюджет на инструменты автоматизации — платформы управления жизненным циклом сертификатов, если вы управляете 100+ сертификатами
Кто проголосовал за это?
Голосование (SC-081) было поддержано всеми четырьмя основными производителями браузеров:
- Apple — предложила изменение
- Google — проголосовал за
- Mozilla — проголосовала за
- Microsoft — проголосовала за
Противодействие со стороны CA было неоднозначным, но производители браузеров имеют право вето. Изменение состоится.
Часто задаваемые вопросы
Let’s Encrypt изменит свой 90-дневный срок действия?
Let’s Encrypt может сократить срок до 47 дней, когда новые правила вступят в силу, или сохранить 90 дней, если это все еще будет в пределах максимума. В любом случае процесс обновления не изменится — и большинство пользователей уже обновляются на 60-й день.
Затрагивает ли это уже выданные сертификаты?
Нет. Уже выданные сертификаты остаются действительными до указанной даты истечения. Новые правила применяются к сертификатам, выданным после дат вступления в силу.
Стоит ли мне перейти на Let’s Encrypt сейчас?
Если вы платите за годовые сертификаты, соотношение цена/выгода быстро меняется. 90-дневная модель Let’s Encrypt уже ближе к 47-дневному будущему, а экосистема (Certbot, acme.sh, GetHTTPS) зрелая. Переход сейчас означает, что вы будете готовы, когда изменение вступит в силу.
Не сломает ли это старые устройства или браузеры?
Нет. Изменение касается максимального срока действия, а не формата сертификата или версии TLS. Старые устройства, которые работают с текущими сертификатами, будут работать и с более кратковременными. Устройство не знает и не учитывает, как долго действителен сертификат — оно просто проверяет дату истечения.
А что насчет внутренних/частных сертификатов?
Это изменение применяется только к публично доверенным сертификатам (тем, что находятся в хранилищах доверия браузеров). Внутренние CA, выдающие сертификаты для корпоративных сетей, не обязаны следовать правилам CA/B Forum.