Forum CA/Browser (dobrowolne stowarzyszenie wiodących Urzędów Certyfikacji oraz twórców przeglądarek internetowych, takich jak Google, Apple, Mozilla i Microsoft, które definiuje obowiązkowe standardy i zasady dotyczące wydawania certyfikatów TLS/SSL) przegłosowało i zatwierdziło w kwietniu 2025 roku harmonogram stopniowego skracania okresu ważności certyfikatów TLS/SSL — z obecnych 398 dni do docelowych 47 dni.
Co to oznacza w praktyce?
Skrócenie okresu ważności certyfikatów oznacza, że certyfikaty TLS/SSL będą musiały być znacznie częściej odnawiane na serwerze. Przy docelowym limicie 47 dni konieczna będzie wymiana certyfikatu aż 8 razy w roku.
Dlaczego dochodzi do tak dużej zmiany?
Istnieje kilka powodów, dla których CA/B Forum zdecydowało się wprowadzić tę zmianę i zaplanować stopniowy harmonogram:
- Wyższe bezpieczeństwo
Częstsze odnawianie certyfikatów pomaga zapobiegać atakom i ryzyku przejęcia strony. - Szybsza reakcja na zagrożenia
Krótsza ważność ogranicza skutki potencjalnego złamania klucza lub kompromitacji certyfikatu. - Wspieranie automatyzacji
Zmiana zachęca do automatycznego odnawiania certyfikatów (np. ACME), co zmniejsza błędy i poprawia bezpieczeństwo.
Dlaczego akurat 47 dni?
Okres ważności 47 dni (mniej więcej półtora miesiąca) może wydawać się nietypowy, ale wynika z konkretnego sposobu obliczeń stosowanego przez CA/B Forum:
- 200 dni
= 6 miesięcy (184 dni) + ½ miesiąca o 30 dniach (15 dni) + 1 dzień zapasu - 100 dni
= 3 miesiące (92 dni) + ok. ¼ miesiąca o 30 dniach (7 dni) + 1 dzień zapasu - 47 dni
= 1 miesiąc (31 dni) + ½ miesiąca o 30 dniach (15 dni) + 1 dzień zapasu
To specyficzny model, ale jest on stosowany przez CA/B Forum od lat a obecny limit 398 dni również powstał według tej logiki:
1 rok (366 dni) + 1 miesiąc (31 dni) + 1 dzień zapasu = 398 dni.
Jak będzie przebiegać stopniowa zmiana?
Skrócenie ważności certyfikatów TLS/SSL odbędzie się etapami – w czterech fazach:
- Do 14 marca 2026
Maksymalna ważność certyfikatu: 398 dni - Od 15 marca 2026
Maksymalna ważność: 200 dni (faza 1) - Od 15 marca 2027
Maksymalna ważność: 100 dni (faza 2) - Od 15 marca 2029
Maksymalna ważność: 47 dni (faza 3 — finalna)
Uwaga!
Od 24 lutego 2026 wszystkie certyfikaty RapidSSL i QuickSSL będą wystawiane z maksymalną ważnością 200 dni. Natomiast od 15 marca 2026 certyfikaty Actalis SSL również będą ważne maksymalnie 200 dni.
Czy certyfikaty wydane przed 15 marca 2026 r. zostaną automatycznie skrócone?
Nie.
Wszystkie certyfikaty SSL wydane przed rozpoczęciem pierwszej fazy pozostaną ważne przez okres, na jaki zostały wystawione. Zmiana dotyczy wyłącznie certyfikatów wystawianych od 15 marca 2026 – od tego dnia będzie można wystawiać certyfikaty maksymalnie na 200 dni. Uwaga!
Certyfikaty DigiCert będą miały maksymalnie 200 dni ważności już od 24 lutego 2026.
Po wdrożeniu każdej fazy Urzędy Certyfikacji nie będą mogły wystawiać certyfikatów z ważnością dłuższą niż:
- 200 dni (od 2026)
- 100 dni (od 2027)
- 47 dni (od 2029)
