ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

IT Security

47denní certifikáty míří na web: zásadní proměna správy TLS

17. prosince 2025
Petra Sasínová

Obsah

  1. Jak jsme se dostali od pětiletých certifikátů k jednomu roku
  2. Google, Apple a CA/B Forum – od návrhu 90 dní k realitě 47 dnů
  3. Proč se to děje – bezpečnost, revokace a obratnost ekosystému
  4. Dopad na praxi – ruční správa certifikátů už nestačí
  5. ACME – protokol, který z HTTPS udělal „zapni a běží“
  6. TLM – řízený životní cyklus certifikátů ve větších společnostech
  7. Co by měli admini a vývojáři udělat mezi březnem 2026 a jarem 2029
  8.  47denní certifikáty jako běžná součást provozu

Související

V nejbližších letech čeká správce webů a serverů jedna z největších změn v historii TLS/SSL – postupné zkrácení platnosti veřejně důvěryhodných certifikátů až na 47 dní, a to už v roce 2029. Tak krátká platnost zásadně mění způsob správy certifikátů. Ruční obnovy ani kalendářové hlídačky už nebudou fungovat a povedou jen k výpadkům.

Jak jsme se dostali od pětiletých certifikátů k jednomu roku

V začátcích HTTPS nebylo výjimkou pořídit certifikát na 3–5 let, v některých případech dokonce i na 10 let. Postupně ale CA/Browser Forum (sdružení prohlížečů a certifikačních autorit) začalo platnost omezovat. Nejdříve na 39 měsíců, poté na 825 dní (cca 27 měsíců).

Screenshot stránky CA/Browser Forum, Zdroj: cabforum.org

Zlom přišel v roce 2020, kdy Apple oznámil, že jeho platformy (Safari, iOS, macOS atd.) přestanou důvěřovat novým certifikátům s platností delší než 398 dní (cca 13 měsíců).

CA/Browser Forum následně aktualizovalo Baseline Requirements a z 825 dní se oficiální maximum zkrátilo na 398 dní.

Důvody jsou dlouhodobě stejné:

  • zmenšit dopad kompromitovaných klíčů (kratší interval = menší okno rizika),
  • snížit závislost na problematických revokačních mechanismech (CRL, OCSP), které často nefungují,
  • vynutit si častější obnovu a tím i rychlejší přebírání nových kryptografických doporučení.

Google, Apple a CA/B Forum – od návrhu 90 dní k realitě 47 dnů

Další velký impuls přišel od Googlu. Tým Chrome Root Program publikoval v říjnu 2024 návrh snížit maximální platnost TLS certifikátů na 90 dní. To by znamenalo čtyři obnovy ročně – tedy de facto konec komfortního ročního cyklu, na který si většina administrátorů zvykla.

V dalších měsících se do diskuse zapojil Apple a v rámci CA/Browser Forum nakonec prošel ještě agresivnější plán – ballot SC-081. Ten zavádí postupné zkrácení platnosti až na 47 dní

Harmonogram zkracování platnosti veřejných TLS certifikátů:

Datum od Maximální platnost certifikátu Opakované použití ověřené domény (DV)
do 14. 3. 2026 398 dní 398 dní
15. 3. 2026 200 dní 200 dní
15. 3. 2027 100 dní 100 dní
15. 3. 2029 47 dní 10 dní

Harmonogram potvrzují např. materiály DigiCertu, Sectiga, GlobalSignu i nezávislé analýzy, které se shodují na tom, že 47 dní platnosti a 10 dní pro opětovné použití validace je schválený standard, nikoli jen návrh.

Praktický důsledek? V roce 2029 budete certifikát obnovovat při běžném nastavení zhruba jednou měsíčně (s bezpečnostní rezervou před expirací) a validaci domény spíše každých pár dnů, pokud nebude plně automatizovaná.

Proč se to děje – bezpečnost, revokace a obratnost ekosystému

Zkracování platnosti certifikátů není samoúčelná změna. Jde o snahu posílit bezpečnost a zlepšit odolnost celého webového ekosystému.

Kratší životní cyklus znamená menší prostor pro zneužití kompromitovaných klíčů, menší závislost na často nespolehlivé revokaci (CRL/OCSP) a rychlejší adopci nových kryptografických standardů. Ekosystém se tak dokáže pružněji přizpůsobovat a reagovat na incidenty nebo technologické změny řádově rychleji než dříve.

  • Rychlejší reakce na kompromitaci klíčů – kratší platnost znamená, že i bez revokace se špatný certifikát přirozeně brzy stane neplatným.
  • Menší závislost na revokační infrastruktuře – CRL a OCSP mají historicky řadu problémů (latence, dostupnost, chybějící kontrola). Kratší platnost snižuje tlak na jejich 100% spolehlivost.
  • Rychlejší adopce moderních algoritmů – když se objeví nový standard (např. post-kvantové algoritmy), krátký životní cyklus usnadňuje rychlou migraci celého ekosystému.
  • Lepší auditovatelnost a správa – organizace jsou nuceny mít přehled o svých klíčích, zónách a službách. To je pro bezpečnost spíše plus než mínus.

Z pohledu CA/Browser Forum i velkých hráčů (Apple, Google) jde o logický krok. Pokud webová PKI drží důvěryhodnost celého HTTPS, potřebuje být rychlá, obratná a méně závislá na papírových procesech, které trvají roky.

Dopad na praxi – ruční správa certifikátů už nestačí

Zatímco certifikáty s platností kolem jednoho roku se ještě daly spravovat pomocí kalendářů, e-mailových upozornění nebo tabulek, přechod na 47denní platnost celý model definitivně posílá do minulosti, píše web CyberArk.

Obnovy budou probíhat prakticky neustále. V jakémkoli větším prostředí se certifikáty začnou překrývat a nikdy nenastane klidové období.

Ilustrační obrázek, zdroj: Freepik

Platnost doménové validace se navíc zkrátí na pouhých deset dní, takže bez automatizace se správci dostanou do nekonečného kola opakovaných úkonů. Ty jsou nejen zdlouhavé, ale i extrémně náchylné k lidským chybám.

A právě chyby budou největší hrozbou. Stačí jediný zapomenutý certifikát a může spadnout web, API, platební brána, integrační služba nebo interní systém.

Proto už nedává smysl spoléhat na tabulky, ruční kopírování souborů nebo restartování služeb. Udržitelné řešení představuje jedině plná automatizace – od ACME pro běžné nasazení až po TLM platformy ve větších organizacích, které řídí celý životní cyklus certifikátů.

ACME – protokol, který z HTTPS udělal „zapni a běží“

Klíčovým nástrojem automatizace je protokol ACME (Automatic Certificate Management Environment). Díky němu může server nebo služba zcela automaticky požádat certifikační autoritu o certifikát, ověřit vlastnictví domény (např. pomocí HTTP-01 či DNS-01) a následně certifikát sama získat i pravidelně obnovovat, a to bez ruční práce.

ACME vznikl v rámci projektu Let’s Encrypt, který chtěl udělat z HTTPS běžný standard a odstranit ruční bariéry spojené s vydáváním certifikátů. Let’s Encrypt od začátku vydává certifikáty výhradně přes ACME a jeho krátká platnost slouží jako nástroj k prosazení automatizace. 

Platnost certifikátů Let’s Encrypt se navíc postupně zkracuje. Projekt už testoval extrémně krátké, například šestidenní certifikáty, a směřuje k ještě kratším defaultním hodnotám. Cílem je snížit dopady kompromitace a posílit odolnost celého ekosystému.

Dnes ACME podporuje:

  • mnoho veřejných CA (DigiCert),
  • širokou škálu klientů (Certbot, acme.sh, lego, dehydrated, integrace v Caddy, Traefik, Apache, nginx atd.),
  • cloud-native nástroje (např. cert-manager v Kubernetes).

Výsledek? V ACME prostředí se certifikát automaticky vystaví, ověří, nainstaluje i obnovuje, a vy o celém procesu často víte jen z logu, nebo vůbec.

Navíc u DigiCertu (můžete sehnat například přes SSLMarket) lze přes ACME plně automatizovat nejen DV certifikáty, ale také OV a EV varianty. To z ACME dělá řešení použitelné i pro firemní a vysoce důvěryhodné certifikáty. Naopak Let’s Encrypt zůstává u DV modelu, tedy čistě doménově validovaných certifikátů bez identifikačních údajů o organizaci.

TLM – řízený životní cyklus certifikátů ve větších společnostech

ACME řeší hlavně automatizaci vydávání a obnovy. Ve větších firmách ale potřebujete víc – discovery, inventarizaci, politiky, audit, integraci s dalšími systémy, řízení klíčů, mTLS, API gateway a další. Tady nastupuje oblast, která se často označuje jako TLS (Trust) Lifecycle Management.

Moderní TLM platformy umí:

  • skenovat prostředí a najít všechny certifikáty (veřejné i interní),
  • přiřadit je k systémům, týmům a vlastníkům,
  • hlídat expirace, politiku klíčů, algoritmů a CA,
  • automatizovat vydání/obnovu (často přes ACME) a nasazení na load balancery (vyvažovač zatížení), WAF nebo API brány,
  • logovat a auditovat všechny změny včetně schvalování.

Typickým příkladem je DigiCert Trust Lifecycle Manager, který se integruje s platformami jako Citrix NetScaler a nabízí plně automatizovaný životní cyklus certifikátů napříč hybridním i multicloudovým prostředím. 

TLM podporuje více certifikačních autorit, automatizaci přes ACME i Zero-Touch Certificate Management, a pro DNS validaci umí pracovat s více než 150 DNS poskytovateli. Díky tomu lze snadno napojit load balancery, cloudové služby (např. Key Vaulty), orchestrace infrastruktury typu Ansible a další enterprise nástroje, které umožňují centrálně řídit a auditovat PKI ve velkém měřítku.

S příchodem 47denních certifikátů se podobné TLM nástroje stávají nutností – zejména pro větší organizace a kritickou infrastrukturu.

Co by měli admini a vývojáři udělat mezi březnem 2026 a jarem 2029

Následující tři roky budou pro správce systémů rozhodující. Zkracování platnosti certifikátů nebude jednorázová změna, ale série postupných kroků, které budou vyžadovat průběžné úpravy infrastruktury, procesů i nástrojů. Aby byl přechod na 47denní certifikáty hladký, vyplatí se postupovat systematicky.

  1. Zmapujte všechna místa, kde máte certifikáty – udělejte inventář napříč weby, API, kontejnery, firemními systémy i IoT. Zjistěte, kdo je spravuje, kde se distribuují a kde jsou ruční procesy. Bez toho automatizace nezačne.
  2. Zaveďte ACME jako standard – ověřte podporu ACME v serverech a load balancerech, nasaďte vhodného ACME klienta a otestujte automatické vydání i obnovu. U veřejných služeb musí být celý proces plně bezobslužný.
  3. Připravte DNS na automatizaci – DNS-01 validace bude klíčová. Zkontrolujte, zda váš DNS poskytuje API, ACME klient ho podporuje a zda lze bezpečně přidělit omezený přístup jen pro TXT záznamy.
  4. Upravte CI/CD, kontejnery a orchestraci – certifikáty nemají být zabalené v obrazech. Používejte dynamické secrets, integrujte ACME do ingressu a zajistěte online obnovu bez převelení.
  5. Testujte chování v krizových situacích – ověřte reakci na chyby: výpadky DNS API, nefunkční ACME validaci, expirovaný certifikát nebo restart služeb po obnově. Automatizace musí zvládnout i neideální stav.
  6. Ve větších firmách začněte s TLM/PKI platformou – centrální správa, audit, role a integrace s DevOps zásadně snižují chyby. Pro desítky až stovky certifikátů jde o nutnost.
  7. Eliminujte ruční zásahy – jakmile platnost klesne pod 100 dní, ruční práce je neudržitelná. Zavádějte výstrahy, šablony konfigurací, omezte manuální nahrávání certifikátů a směřujte k plné automatizaci do roku 2029.

 47denní certifikáty jako běžná součást provozu

Zkracování platnosti TLS certifikátů na 47 dní nevzniká proto, aby správcům přidělalo práci.  Naopak nutí celý ekosystém přejít na bezpečnější, modernější a automatizované postupy. Ruční správa certifikátů se v příštích letech stane neudržitelnou, ale kdo udělá potřebné kroky včas, získá rychlejší reakci na incidenty, robustnější PKI a menší riziko výpadků.

Screenshot webu SSLMarket, zdroj: sslmarket.cz

Klíčové je mít přehled o certifikátech, sjednotit procesy, nasadit ACME tam, kde to jde, a u větších prostředí využít TLM/PKI platformy. Český trh navíc nabízí i kvalitní podporu. Například SSLMarket od Zoneru, který dlouhodobě poskytuje certifikáty DigiCert a nástroje pro jejich správu, včetně ACME a automatizačních workflow.

Pokud infrastrukturu nastavíte správně, stanou se 47denní certifikáty rutinní součástí provozu, o kterou se postará automatizace. Zátěž zmizí, bezpečnost vzroste a správcům zůstane čas řešit skutečně důležité věci, ne honit expirační termíny.

Předchozí článek Jak číst heatmapy a uživatelská data: UX analýza pro každého
Petra Sasínová

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *