+48 32 340 03 97
Ocena naszych klientów
4.90
/ 429 opinii

Krótsza ważność certyfikatów TLS/SSL: co zmienia nowy harmonogram?

Autor: Michał Pośpieszczyk

Opublikowano: 20 stycznia 2026

CA/Browser Forum to organizacja, w której wspólnie działają twórcy przeglądarek (m.in. Apple, Google, Microsoft, Mozilla) i urzędy certyfikacji. W ostatnim czasie przyjęła zmiany w standardzie TLS Baseline Requirements dla publicznie zaufanych certyfikatów serwerowych (tych używanych w typowym połączeniu HTTPS dla domen). Przyjęty harmonogram stopniowo skraca zarówno maksymalną ważność certyfikatów, jak i okres, przez który można ponownie wykorzystywać wcześniejszą walidację domeny/IP (DCV).

Co to w ogóle jest "SSL" i certyfikat?

"SSL" to potoczna nazwa certyfikatu zabezpieczającego serwis internetowy. W ujęciu technicznym chodzi dziś o TLS, czyli szyfrowanie połączenia między przeglądarką internetową a serwerem, na którym znajduje się strona internetowa. Certyfikat TLS (SSL) potwierdza, że łączysz się z właściwą domeną (np. silnet.pl) i pozwala ustawić bezpieczne połączenie HTTPS.

Co się zmienia? Kluczowe daty i limity

Maksymalna ważność certyfikatu TLS (SSL)

  • do 14 marca 2026: maks. 398 dni (obecny limit)
  • od 15 marca 2026: maks. 200 dni
  • od 15 marca 2027: maks. 100 dni
  • od 15 marca 2029: maks. 47 dni

DCV reuse (czas jak długo CA może oprzeć się na starej walidacji domeny/ adresu IP)

  • do 14 marca 2026: maks. 398 dni
  • od 15 marca 2026: maks. 200 dni
  • od 15 marca 2027: maks. 100 dni
  • od 15 marca 2029: maks. 10 dni

Dlaczego branża to robi?

W uzasadnieniu CA/Browser Forum wskazuje kilka powodów:

  • Wystawiony certyfikat odzwierciedla stan weryfikacji w chwili jego wydania - dłuższa ważność zwiększa prawdopodobieństwo zmian (np. zmiana właściciela domeny).
  • Krótsza ważność i krótszy "reuse" (ponownego wykorzystania) walidacji - ograniczają skutki pomyłek przy walidacji i skracają czas, przez który błędny certyfikat może działać.
  • Unieważnianie (CRL/OCSP) nie działa wszędzie równie dobrze - krótsza ważność certyfikatu to prostszy i bardziej przewidywalny sposób na zmniejszenie ryzyka. W praktyce nie każdy odbiorca certyfikatu zawsze sprawdza unieważnienie w czasie rzeczywistym, więc błędny certyfikat może działać dłużej, niż powinien.
  • Wymuszenie automatyzacji - wydawanie i podmiana certyfikatów powinny działać automatycznie, a nie być wykonywane ręcznie.

Co to oznacza w praktyce dla właścicieli stron i firm?

  1. Odnowienia będą znacznie częstsze - przy docelowym limicie 47 dni w 2029 r., jest to prawie "co miesiąc".
  2. Częstsza walidacja domeny/IP (DCV) - Od 2029 r. urząd certyfikacji będzie mógł bazować na potwierdzeniu kontroli nad domeną/IP maksymalnie sprzed 10 dni, czyli "standardowe odnowienie" może oznaczać dodatkowe kroki weryfikacyjne.
  3. Największe ryzyko: przerwy działania szyfrowania i strony w protokole HTTPS poprzez wygaśnięcie certyfikatu - im krótszy certyfikat, tym mniej "buforu" na ludzkie błędy czy awarie.

Co warto zrobić przed 15 marca 2026 (pierwszy próg: 200 dni)

Gdy ważność certyfikatów zacznie się skracać, najwięcej problemów pojawi się nie przy samym działaniu TLS (SSL), tylko przy jego obsłudze: walidacji domeny, odnowieniach i jego podmianie. Poniżej lista rzeczy, które warto wykonać przed pierwszą kluczową datą.

  • Upewnij się, że Twój dostawca certyfikatów TLS (SSL) wie o wprowadzanych zmianach i wspiera krótsze okresy ważności certyfikatów TLS (SSL).
  • Upewnij się, że procesy odnowienia u Twojego dostawcy nie opierają się na starej walidacji domeny (np. wygasłe/nieodświeżane DCV) i Twoja domena potrafi szybko przejść ponowną walidację, gdy ta będzie potrzebna.
  • Zapisz sobie wszystkie miejsca, gdzie i jaki certyfikat jest używany - czy to na www, w API czy pod subdomenami, serwerami pocztowymi, usługami wewnętrznymi czy na środowiskach testowych.
  • Jeżeli samodzielnie kupujesz i instalujesz certyfikat TLS (SSL):
    • Wprowadź automatyczne odnawianie i podmianę certyfikatu (zamiast ręcznych działań): ustaw cykliczne odnowienia wg. harmonogramu.
    • Przetestuj automatyzację:
      odnowieniewdrożenierestart usługweryfikacja działania.
      Najlepiej w godzinach mniejszego ruchu na swojej stronie www.
    • Dodaj monitoring i alerty dot. daty wygaśnięcia / błędnego odnowienia.
    • Uporządkuj dostępy i klucze: gdzie są przechowywane klucze prywatne, kto ma do nich dostęp, czy masz kopię zapasową i przygotuj procedurę szybkiej podmiany certyfikatu w razie incydentu.

Podsumowanie

To bardzo istotne zmiany których nie można ignorować: krótsze certyfikaty oznaczają mniej marginesu na błędy, dlatego kluczowe stają się monitoring i szybka reakcja. Jeśli chcesz mieć to pod kontrolą skontaktuj się z Silnet Media, pomożemy dobrać odpowiednie rozwiązanie i dopilnować, żeby Twój certyfikat zawsze działał bez przerw.

Zobacz inne wpisy
Avatar - Michał Pośpieszczyk
Autor

Michał Pośpieszczyk

Michał to ekspert w dziedzinie technologii, zwłaszcza w obszarze bezpieczeństwa, serwerów i PrestaShop. Zawsze śledzi najnowsze trendy rynkowe, dzięki czemu jego wiedza i umiejętności czynią go cennym źródłem informacji. Potrafi łączyć profesjonalizm z umiejętnością budowania relacji z klientami, co pozwala mu zdobywać ich zaufanie i skutecznie dbać o ich potrzeby. Każdy jego artykuł to solidna analiza i praktyczne porady. Dzięki doświadczeniu i pasji, Michał jest ceniony w branży, a jego publikacje stanowią doskonałe źródło wiedzy o najnowszych rozwiązaniach i dobrych praktykach w zakresie cyberbezpieczeństwa, administracji serwerów oraz e-commerce na platformie PrestaShop.

Czytaj więcej o autorze

Porozmawiajmy o tym, co możemy wykonać dla Ciebie.

Kinga Domagała
Marcin Mańka
Monika Struzikowska
Iwona Lupa
Agnieszka Musioł
Krzysztof Świtała
Pole Wiadomość jest wymagane
Podaj poprawny numer telefonu
Podaj poprawny adres email
Musisz wyrazić zgodę aby wysłać formularz
Ta strona jest chroniona przez reCAPTCHA. Obowiązują Polityka prywatności i Warunki korzystania z usług Google.