Все статьи о SSL SSL и сертификаты

Срок действия SSL-сертификатов: изменение на 47 дней

CA/Browser Forum (отраслевой орган, устанавливающий стандарты SSL-сертификатов) проголосовал в апреле 2025 года за постепенное сокращение максимального срока действия сертификатов с 398 дней до 47 дней к марту 2029 года. Это затрагивает все удостоверяющие центры — как платные, так и бесплатные.

Хронология

Дата вступления в силуМакс. срок действияМакс. повторное использование DCVВлияние
До марта 2026398 дней (13 месяцев)398 днейТекущее состояние
15 марта 2026200 дней200 днейПлатные CA должны выдавать более короткие сертификаты
15 марта 2027100 дней100 днейПриближение к 90-дневной модели Let’s Encrypt
15 марта 202947 дней10 днейВсе сертификаты требуют частого обновления

Повторное использование DCV = как долго можно повторно использовать результат валидации домена. К 2029 году контроль домена должен повторно подтверждаться каждые 10 дней, даже если сертификат действителен 47 дней.

Почему это происходит

Кратковременные сертификаты безопаснее:

  • Сокращение окна уязвимости — при компрометации ключа ущерб ограничен оставшимся сроком действия
  • Быстрый отзыв — механизмы отзыва (CRL, OCSP) ненадежны; короткий срок действия делает их менее критичными
  • Принудительная автоматизация — ручное обновление не масштабируется при 47 днях, что подталкивает отрасль к автоматизированному управлению сертификатами
  • Актуальная валидация — частая проверка контроля домена быстрее выявляет устаревшие DNS, проданные домены или смену владельца

Apple предложила это изменение, и все четыре основных производителя браузеров (Apple, Google, Mozilla, Microsoft) проголосовали за.

Что это значит для вас

Если вы используете Let’s Encrypt (90-дневные сертификаты)

Немногое меняется прямо сейчас. Вы уже обновляетесь каждые 60-90 дней. К 2029 году частота обновлений увеличится с каждых 60 дней до примерно каждых 30 дней.

Необходимые действия: Убедитесь, что у вас настроена надежная автоматизация обновления (cron для Certbot, cron для acme.sh) или надежный ручной процесс (GetHTTPS с напоминаниями в календаре).

Если вы используете платные сертификаты (годовые)

Это более существенное изменение. К марту 2026 года максимальный срок действия сокращается до 200 дней. К 2029 году — до 47 дней, идентично модели Let’s Encrypt.

Необходимые действия: Начните планировать автоматизацию. Преимущество платных сертификатов в стоимости (более длительный срок = меньше обновлений) исчезает. Многие организации перейдут на бесплатные сертификаты Let’s Encrypt с автоматическим обновлением.

Если вы управляете множеством сертификатов

47-дневный срок действия для сотен доменов означает тысячи обновлений в год. Ручное управление становится невозможным.

Необходимые действия: Внедрите автоматизацию на основе ACME (Certbot, acme.sh или платформу управления сертификатами).

Конец эпохи «настроил и забыл»

Самое серьезное практическое последствие: вы больше не сможете купить годовой сертификат и забыть о нем. К 2029 году каждому сайту потребуется автоматический конвейер обновления или кто-то, кто будет вручную обновлять сертификаты каждый месяц.

Это уравнивает условия между бесплатными и платными CA — когда все обновляются каждые 47 дней, преимущество длительного срока действия платных сертификатов полностью исчезает.

Изменения в повторном использовании DCV (часто упускают из виду)

Тот же голос CA/B Forum также сокращает периоды повторного использования валидации контроля домена (DCV):

ДатаМакс. повторное использование DCV
Текущий398 дней
Март 2026200 дней
Март 2027100 дней
Март 202910 дней

Повторное использование DCV = как долго CA может повторно использовать предыдущий результат валидации домена. К 2029 году CA должен повторно подтверждать ваш контроль домена каждые 10 дней — даже если сертификат действителен 47 дней. Это означает, что валидация не может быть разовым событием; она должна быть полностью автоматизирована.

Для ACME-клиентов (GetHTTPS, Certbot, acme.sh) это происходит бесшовно — каждое обновление включает новый challenge. Для ручных процессов с коммерческими CA это добавляет значительную операционную нагрузку.

Как подготовиться сейчас

Если вы уже используете Let’s Encrypt + Certbot/acme.sh

Вы уже на 90-дневных сертификатах с автоматическим обновлением. Действий не требуется. Когда срок действия сократится до 47 дней, ваш cron-задание справится — оно уже проверяет дважды в день.

Если вы используете GetHTTPS (ручное обновление)

Сейчас вы обновляете примерно каждые 60 дней. С 47-дневными сертификатами это станет примерно каждые 30 дней. Варианты:

  1. Продолжить вручную — установите напоминания каждые 30 дней. Выполнимо для 1-3 доменов.
  2. Гибридный подход — используйте GetHTTPS для первого сертификата, затем установите Certbot для автообновления.
  3. Подождать и посмотреть — ограничение в 47 дней наступит в марте 2029 года. У вас есть время.

Если вы используете платные годовые сертификаты

Начните планировать сейчас:

  1. Оцените Let’s Encrypt — к 2029 году платные и бесплатные сертификаты будут иметь одинаковую частоту обновления. Стоит ли платить?
  2. Внедрите автоматизацию ACME — даже коммерческие CA поддерживают ACME (DigiCert, Sectigo)
  3. Заложите бюджет на инструменты автоматизации — платформы управления жизненным циклом сертификатов, если вы управляете 100+ сертификатами

Кто проголосовал за это?

Голосование (SC-081) было поддержано всеми четырьмя основными производителями браузеров:

  • Apple — предложила изменение
  • Google — проголосовал за
  • Mozilla — проголосовала за
  • Microsoft — проголосовала за

Противодействие со стороны CA было неоднозначным, но производители браузеров имеют право вето. Изменение состоится.

Часто задаваемые вопросы

Let’s Encrypt изменит свой 90-дневный срок действия?

Let’s Encrypt может сократить срок до 47 дней, когда новые правила вступят в силу, или сохранить 90 дней, если это все еще будет в пределах максимума. В любом случае процесс обновления не изменится — и большинство пользователей уже обновляются на 60-й день.

Затрагивает ли это уже выданные сертификаты?

Нет. Уже выданные сертификаты остаются действительными до указанной даты истечения. Новые правила применяются к сертификатам, выданным после дат вступления в силу.

Стоит ли мне перейти на Let’s Encrypt сейчас?

Если вы платите за годовые сертификаты, соотношение цена/выгода быстро меняется. 90-дневная модель Let’s Encrypt уже ближе к 47-дневному будущему, а экосистема (Certbot, acme.sh, GetHTTPS) зрелая. Переход сейчас означает, что вы будете готовы, когда изменение вступит в силу.

Не сломает ли это старые устройства или браузеры?

Нет. Изменение касается максимального срока действия, а не формата сертификата или версии TLS. Старые устройства, которые работают с текущими сертификатами, будут работать и с более кратковременными. Устройство не знает и не учитывает, как долго действителен сертификат — оно просто проверяет дату истечения.

А что насчет внутренних/частных сертификатов?

Это изменение применяется только к публично доверенным сертификатам (тем, что находятся в хранилищах доверия браузеров). Внутренние CA, выдающие сертификаты для корпоративных сетей, не обязаны следовать правилам CA/B Forum.

Похожие статьи

Начало работы 2026-05-07
Как продлить сертификат Let's Encrypt
Сертификаты Let's Encrypt истекают каждые 90 дней. Узнайте, как продлить с помощью GetHTTPS (вручную) или Certbot (автоматически), и подготовьтесь к 47-дневному сроку действия.
Сравнение 2026-05-08
GetHTTPS vs Certbot: какой инструмент для SSL выбрать?
Подробное сравнение GetHTTPS и Certbot для получения бесплатных SSL-сертификатов от Let's Encrypt. Сравнение установки, рабочего процесса, конфиденциальности, автоматизации, продления и сценариев использования.
SSL и сертификаты 2026-05-07
Типы SSL-сертификатов: DV, OV и EV
Сравнение SSL-сертификатов с проверкой домена (DV), проверкой организации (OV) и расширенной проверкой (EV). Узнайте различия в верификации, стоимости и когда какой тип действительно нужен.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат