+48 32 340 03 97
Ocena naszych klientów
4.89
/ 417 opinii

Krótsza ważność certyfikatów TLS/SSL: co zmienia nowy harmonogram?

Autor: Michał Pośpieszczyk

Opublikowano: 20 stycznia 2026

CA/Browser Forum to organizacja, w której wspólnie działają twórcy przeglądarek (m.in. Apple, Google, Microsoft, Mozilla) i urzędy certyfikacji. W ostatnim czasie przyjęła zmiany w standardzie TLS Baseline Requirements dla publicznie zaufanych certyfikatów serwerowych (tych używanych w typowym połączeniu HTTPS dla domen). Przyjęty harmonogram stopniowo skraca zarówno maksymalną ważność certyfikatów, jak i okres, przez który można ponownie wykorzystywać wcześniejszą walidację domeny/IP (DCV).

Co to w ogóle jest "SSL" i certyfikat?

"SSL" to potoczna nazwa certyfikatu zabezpieczającego serwis internetowy. W ujęciu technicznym chodzi dziś o TLS, czyli szyfrowanie połączenia między przeglądarką internetową a serwerem, na którym znajduje się strona internetowa. Certyfikat TLS (SSL) potwierdza, że łączysz się z właściwą domeną (np. silnet.pl) i pozwala ustawić bezpieczne połączenie HTTPS.

Co się zmienia? Kluczowe daty i limity

Maksymalna ważność certyfikatu TLS (SSL)

  • do 14 marca 2026: maks. 398 dni (obecny limit)
  • od 15 marca 2026: maks. 200 dni
  • od 15 marca 2027: maks. 100 dni
  • od 15 marca 2029: maks. 47 dni

DCV reuse (czas jak długo CA może oprzeć się na starej walidacji domeny/ adresu IP)

  • do 14 marca 2026: maks. 398 dni
  • od 15 marca 2026: maks. 200 dni
  • od 15 marca 2027: maks. 100 dni
  • od 15 marca 2029: maks. 10 dni

Dlaczego branża to robi?

W uzasadnieniu CA/Browser Forum wskazuje kilka powodów:

  • Wystawiony certyfikat odzwierciedla stan weryfikacji w chwili jego wydania - dłuższa ważność zwiększa prawdopodobieństwo zmian (np. zmiana właściciela domeny).
  • Krótsza ważność i krótszy "reuse" (ponownego wykorzystania) walidacji - ograniczają skutki pomyłek przy walidacji i skracają czas, przez który błędny certyfikat może działać.
  • Unieważnianie (CRL/OCSP) nie działa wszędzie równie dobrze - krótsza ważność certyfikatu to prostszy i bardziej przewidywalny sposób na zmniejszenie ryzyka. W praktyce nie każdy odbiorca certyfikatu zawsze sprawdza unieważnienie w czasie rzeczywistym, więc błędny certyfikat może działać dłużej, niż powinien.
  • Wymuszenie automatyzacji - wydawanie i podmiana certyfikatów powinny działać automatycznie, a nie być wykonywane ręcznie.

Co to oznacza w praktyce dla właścicieli stron i firm?

  1. Odnowienia będą znacznie częstsze - przy docelowym limicie 47 dni w 2029 r., jest to prawie "co miesiąc".
  2. Częstsza walidacja domeny/IP (DCV) - Od 2029 r. urząd certyfikacji będzie mógł bazować na potwierdzeniu kontroli nad domeną/IP maksymalnie sprzed 10 dni, czyli "standardowe odnowienie" może oznaczać dodatkowe kroki weryfikacyjne.
  3. Największe ryzyko: przerwy działania szyfrowania i strony w protokole HTTPS poprzez wygaśnięcie certyfikatu - im krótszy certyfikat, tym mniej "buforu" na ludzkie błędy czy awarie.

Co warto zrobić przed 15 marca 2026 (pierwszy próg: 200 dni)

Gdy ważność certyfikatów zacznie się skracać, najwięcej problemów pojawi się nie przy samym działaniu TLS (SSL), tylko przy jego obsłudze: walidacji domeny, odnowieniach i jego podmianie. Poniżej lista rzeczy, które warto wykonać przed pierwszą kluczową datą.

  • Upewnij się, że Twój dostawca certyfikatów TLS (SSL) wie o wprowadzanych zmianach i wspiera krótsze okresy ważności certyfikatów TLS (SSL).
  • Upewnij się, że procesy odnowienia u Twojego dostawcy nie opierają się na starej walidacji domeny (np. wygasłe/nieodświeżane DCV) i Twoja domena potrafi szybko przejść ponowną walidację, gdy ta będzie potrzebna.
  • Zapisz sobie wszystkie miejsca, gdzie i jaki certyfikat jest używany - czy to na www, w API czy pod subdomenami, serwerami pocztowymi, usługami wewnętrznymi czy na środowiskach testowych.
  • Jeżeli samodzielnie kupujesz i instalujesz certyfikat TLS (SSL):
    • Wprowadź automatyczne odnawianie i podmianę certyfikatu (zamiast ręcznych działań): ustaw cykliczne odnowienia wg. harmonogramu.
    • Przetestuj automatyzację:
      odnowieniewdrożenierestart usługweryfikacja działania.
      Najlepiej w godzinach mniejszego ruchu na swojej stronie www.
    • Dodaj monitoring i alerty dot. daty wygaśnięcia / błędnego odnowienia.
    • Uporządkuj dostępy i klucze: gdzie są przechowywane klucze prywatne, kto ma do nich dostęp, czy masz kopię zapasową i przygotuj procedurę szybkiej podmiany certyfikatu w razie incydentu.

Podsumowanie

To bardzo istotne zmiany których nie można ignorować: krótsze certyfikaty oznaczają mniej marginesu na błędy, dlatego kluczowe stają się monitoring i szybka reakcja. Jeśli chcesz mieć to pod kontrolą skontaktuj się z Silnet Media, pomożemy dobrać odpowiednie rozwiązanie i dopilnować, żeby Twój certyfikat zawsze działał bez przerw.

Zobacz inne wpisy
Avatar - Michał Pośpieszczyk
Autor

Michał Pośpieszczyk

Michał to ekspert w dziedzinie technologii, zwłaszcza w obszarze bezpieczeństwa, serwerów i PrestaShop. Zawsze śledzi najnowsze trendy rynkowe, dzięki czemu jego wiedza i umiejętności czynią go cennym źródłem informacji. Potrafi łączyć profesjonalizm z umiejętnością budowania relacji z klientami, co pozwala mu zdobywać ich zaufanie i skutecznie dbać o ich potrzeby. Każdy jego artykuł to solidna analiza i praktyczne porady. Dzięki doświadczeniu i pasji, Michał jest ceniony w branży, a jego publikacje stanowią doskonałe źródło wiedzy o najnowszych rozwiązaniach i dobrych praktykach w zakresie cyberbezpieczeństwa, administracji serwerów oraz e-commerce na platformie PrestaShop.

Czytaj więcej o autorze

Porozmawiajmy o tym, co możemy wykonać dla Ciebie.

Agnieszka Musioł
Krzysztof Świtała
Michał Pośpieszczyk
Arkadiusz Seidel
Wojciech Czajerek
Wypełnij poniższy formularz, a skontaktujemy się z Tobą w najbliższym dniu roboczym.
Pole Wiadomość jest wymagane
Podaj poprawny numer telefonu
Podaj poprawny adres email
Musisz wyrazić zgodę aby wysłać formularz
Ta strona jest chroniona przez reCAPTCHA. Obowiązują Polityka prywatności i Warunki korzystania z usług Google.