Nenechte se zaskočit TLS certifikáty na 47 dní

CA/Browser Forum nedávno jednohlasně odsouhlasilo další zkrácení platnosti digitálních certifikátů, které budou moci platit pouze 47 dní. Nikoliv už současných cca 13 měsíců, jak jsme dosud zvyklí.

Tento krok navazuje na dřívější zkrácení TLS certifikátů a má posílit bezpečnost a rychlejší reakci na incidenty. Pro administrátory to znamená větší tlak na automatizaci správy certifikátů a častější rotaci. V článku se podíváme na důvody těchto změn, jejich dopady na běžnou praxi a co by IT týmy měly udělat, aby byly připravené.

Plán zkracování TLS certifikátů

Zkrácení se rozhodně netýká již vydaných certifikátů, takže nemusíte propadat panice. Zkracovat se bude postupně a vždy jen nově vydané certifikáty.

Plán zkracování nově vydaných certifikátů je následující:

• Od 15. března 2026 bude maximální platnost certifikátů 200 dní,
• od 15. března 2027 bude maximální platnost certifikátů 100 dní,
• a od 15. března 2029 bude maximální platnost certifikátů 47 dní.

Po 15. 3. 2029 budete mít v rukou každý certifikát 8x ročně. To už je manuálně neúnosné.

Jak automatizovat TLS certifikáty

Určitě nechcete každý rok 8x vyměňovat již existující TLS certifikáty na serverech. To by byla otrocká práce a hlavně zbytečná. Odborníci ze SSLmarketu pro váš mají řešení této noční můry – automatizace.

Termínem Automatizace životního cyklu TLS certifikátů míníme řízení celého jeho životního cyklu. Tedy nejen získání (vydání certifikátu), ale také jeho nasazení a včasné prodloužení.

Automatizace TLS certifikátů je již dlouho osvědčená a funkční. Stačí do tohoto vlaku naskočit jedním ze tří způsobů:

ACME protokol

ACME je bezplatný, jednoduchý a můžete ho využít hned. Je jednoduchý, ale jeho podporu najdete na všech platformách včetně Windows Serveru. Nástrojů, které ho využívají, jsou stovky.

DigiCert Automation Manager

DigiCert Automation Manager rovněž sází na ACME, ale na rozdíl od běžných ACME nástrojů ovládaných příkazovou řádkou nabízí přehledné grafické rozhraní. Můžete na něj napojit více serverů a dokonce sdílet jeden certifikát mezi nimi.

Nejlepší na tom je, že je bezplatný a nebude vás stát nic navíc. Pouze čas při nastavení.

DigiCert ONE a Trust Lifecycle Manager

Vrcholné řešení automatizace. Trust Lifecycle Manager poskytuje centralizované nástroje pro vydávání, správu, obnovu a revokaci TLS/SSL certifikátů (a dalších typů certifikátů), a to s podporou automatizace prostřednictvím protokolů jako ACME nebo API integrací. 

DigiCert Trust Lifecycle Manager se dá integrovat s řadou nástrojů a systémů, které organizace běžně používají pro správu infrastruktury, DevOps a bezpečnosti. Zde je několik příkladů integrací:

1. DevOps nástroje a CI/CD pipeline (Jenkins, GitLab CI, Azure DevOps)
2. Web servery a aplikační servery (Apache, Nginx, Microsoft IIS, Tomcat)
3. Load balancery a proxy servery (F5 BIG-IP, Citrix ADC, HAProxy)
4. Cloudová prostředí (AWS, Azure, Google Cloud)
5. Container orchestration (Kubernetes) 
6. Enterprise systémy a IAM (ADCS, ServiceNow, SailPoint)
7. Security & Monitoring (Splunk, SIEM systémy, Syslog servery)

Máte tedy na výběr samé skvělé možnosti a dvě z nich dokonce zdarma.

Zkrácení se s námi nemusíte bát

Problém automatizace životního cyklu TLS certifikátů je již vyřešen, nemusíte se tedy bát zkratování platnosti. Automatizovat můžete začít hned a zdarma.

Jediným omezením jsou stávající certifikáty, které do automatizace převést nejde. Mohou se však zautomatizovat při obnově, nebo i dříve, pokud se tak domluvíme. Neváhejte se na nás obrátit a pomůžeme vám.