SSL-апокалипсис близко: сертификаты будут меняться чаще, чем пароли в соцсетях
Почему IT-гиганты хотят, чтобы цифровые ключи жили всего 47 дней?
Начиная с 2029 года срок действия новых SSL/TLS-сертификатов сократится до 47 дней — соответствующее решение было принято участниками CA/Browser Forum, в которое входят производители браузеров, центры сертификации и другие заинтересованные игроки отрасли. Сегодня сертификаты живут до 398 дней, но к 2029 году администраторов ждёт куда более частая их замена — и немало хлопот.
Инициатива по ужесточению сроков принадлежит Apple, которая ещё в прошлом году предложила снизить максимальный срок действия сертификатов, сославшись на рост угроз. По мнению инициаторов, чем чаще происходят обновления, тем меньше окно, в которое можно использовать скомпрометированный или похищенный сертификат. Если раньше у злоумышленников было больше года, то к концу десятилетия эти сроки сократятся максимально. Подобное решение поддержали и крупные компании, включая Google, Microsoft и Mozilla.
Голосование по новому регламенту прошло на днях : 25 участников от центров сертификации поддержали инициативу, ещё пятеро воздержались. Потребители сертификатов — в лице крупнейших IT-компаний — также высказались «за». В результате был принят поэтапный график перехода на более короткие сроки действия:
С 15 марта 2026 года сертификаты (включая подтверждение владения доменом, DCV) станут действительными не более 200 дней. С 2027 года срок сократится до 100 дней. А с 15 марта 2029 года — до 47 дней для сертификатов и всего 10 дней для DCV.
Крупные игроки отрасли, такие как Sectigo, подчёркивают, что это решение — шаг к более безопасному интернету и подготовка к рискам, связанным с наступлением квантовой эры. Однако в реальности нововведение вызвало далеко не только одобрение. Среди системных администраторов реакция оказалась, мягко говоря, сдержанной.
На форумах обсуждение вылилось в тревожные комментарии: в теории это может быть оправдано, особенно при наличии современных облачных решений и автоматизации. Но в реальных инфраструктурах, где по-прежнему используется старое оборудование и устаревшие системы, каждая замена сертификата рискует превратиться в ручной и утомительный процесс, ведь далеко не все компании автоматизировали смену сертификатов.
Нынешний тренд подтверждает главное: в ближайшие годы админам предстоит серьёзная перестройка подходов к управлению сертификатами. Без автоматизации новые сроки могут превратиться в непрерывную головную боль, особенно для тех, кто управляет обширными парками устройств и систем. Переход обещает быть непростым, особенно в организациях с устаревшими техническими решениями.
Важно, что инициатива не пришла внезапно: Apple уже в 2020 году ограничила поддержку долгоживущих сертификатов в Safari. Так что нынешнее решение стало логическим продолжением ранее начатой кампании за частую ротацию SSL/TLS-сертификатов. А для многих — и последним сигналом к тому, что автоматизация больше не рекомендация, а необходимость.