ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

IT Security

Bez automatizace se certifikáty brzy neobejdou. A nejde jen o jejich zkracování

26. ledna 2026
Petra Sasínová

Obsah

  1. Zkracování certifikátů je jen začátek
  2. Zkracuje se i platnost ověření
  3. E-mailové potvrzení domény skončí
  4. Proč se to děje právě teď
  5. Automatizace není budoucnost, ale standard

Související

Internet se postupně zbavuje ručních bezpečnostních procesů. TLS certifikáty jsou jednou z posledních oblastí, kde stále spoléháme na klikání v e-mailech a ruční obnovy. To se ale mění. Kratší platnosti, častější ověřování a tlak na automatizaci zásadně mění způsob, jakým budou certifikáty fungovat.

Zkracování certifikátů je jen začátek

TLS certifikáty se historicky vydávaly na dlouhé období. To dávalo smysl v době, kdy byl web statičtější, změny vzácné a automatizace spíše výjimkou. Dnešní internet ale funguje jinak. Infrastruktura je dynamická, služby se přesouvají, škálují a mění v řádu minut, píše web Digicert.

Právě proto se dnes prosazuje model krátce platných certifikátů, které:

  • snižují dopad kompromitace klíče,
  • umožňují rychlejší reakci na bezpečnostní incidenty,
  • nutí provozovatele držet certifikáty aktuální.

To samo o sobě ještě nemusí být problém. Problém nastává ve chvíli, kdy se tento model zkombinuje s manuální správou.

Zkracuje se i platnost ověření

Zkracování se netýká jen samotných TLS certifikátů, ale také platnosti ověření, na jehož základě jsou vydávány. To platí jak pro ověření domény (DV), tak pro ověření organizace (OV/EV).

Dříve bylo ověření vnímáno jako jednorázový krok. Dnes už to neplatí. Domény, DNS záznamy i vlastnictví firem se mění rychle a staré ověření přestává být dostatečným základem důvěry.

Kratší platnost ověření znamená, že certifikační autority musí ověřování opakovat častěji a provozovatelé webů na něj musí být připraveni kdykoliv znovu. U manuálních postupů to rychle naráží na limity – časové, provozní i bezpečnostní.

Zvlášť u OV a EV certifikátů roste tlak na automatizaci celého procesu. Nejde už jen o vydání certifikátu, ale o schopnost opakovaně a spolehlivě prokázat kontrolu nad doménou a identitu organizace.

Zkracování platnosti ověření je méně viditelná změna než zkracování certifikátů, ale z provozního hlediska má mnohem větší dopad. Bez automatizace totiž nebude co obnovovat.

E-mailové potvrzení domény skončí

Nejpoužívanější metodou ověření domény je dnes potvrzovací e-mail. Certifikační autorita odešle zprávu na jednu z předdefinovaných adres a čeká, až někdo klikne na potvrzovací odkaz. Tento model ale přestává odpovídat realitě moderního provozu webů.

E-mailové ověření je pomalé, náchylné k chybám a špatně škáluje. Stačí, aby zpráva skončila ve spamu, někdo byl na dovolené nebo se změnila odpovědná osoba, a vydání certifikátu se zastaví. U krátce platných certifikátů se z takové drobnosti stává kritické provozní riziko.

Zároveň jde o metodu, která je obtížně auditovatelná a závislá na lidském zásahu. To je přesně ten typ procesu, od kterého se bezpečnostní infrastruktura internetu snaží ustoupit. Certifikační autority i provozovatelé prohlížečů proto stále více prosazují strojově ověřitelné metody, které nevyžadují klikání v e-mailu.

Budoucnost patří ověřování pomocí DNS záznamů nebo automatizovaných HTTP/TLS kontrol, které lze opakovat kdykoliv a bez zásahu člověka. Právě tímto směrem míří celý ekosystém a e-mailové potvrzení domény v něm postupně ztrácí místo.

Proč se to děje právě teď

Hlavním hybatelem změn nejsou certifikační autority samy o sobě, ale tlak ekosystému kolem webu. Významnou roli v tom hraje Google, který dlouhodobě prosazuje:

  • kratší platnost certifikátů,
  • striktnější pravidla pro jejich vydávání,
  • automatizaci jako základní předpoklad bezpečného webu.

Cílem není komplikovat život provozovatelům, ale odstranit slabá místa vznikající lidskou chybou. Manuální procesy jsou pomalé, nespolehlivé a špatně škálovatelné. To je přesně opak toho, jak dnešní internet funguje.

Automatizace není budoucnost, ale standard

Na první pohled to celé může působit jako další komplikace a zbytečná zátěž pro provoz webů. Ve skutečnosti ale nejde o nový problém – automatizace certifikátů je vyřešená oblast, která se v praxi používá už roky. Jen se nyní přesouvá z role doporučeného vylepšení do role standardu.

Nástroje i postupy existují, jsou prověřené a dostupné. Ať už jde o základní automatizaci pomocí ACME, nebo o pokročilou správu celého životního cyklu certifikátů přes řešení dostupná na SSLMarketu, případně systémy typu DigiCert Trust Lifecycle Manager, technologie už dávno předběhla současná pravidla.

Změna tedy není o hledání nových řešení, ale o rozhodnutí začít používat ta, která už máme k dispozici. A pokud si na jejich nasazení nechcete nebo nemůžete troufnout sami, obrátit se na odborníky je dnes ta nejjednodušší cesta, jak z potenciálního problému udělat rutinní a spolehlivou součást provozu.

Předchozí článek AI v bezpečnosti: Jak umělá inteligence může chránit vaše weby
Petra Sasínová

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *