А у нас тут новости в части глобального PKI подоспели. CA/Browser Forum принял резолюцию (Ballot SC‑081v3), устанавливающую поэтапное сокращение максимального срока действия публичных TLS‑сертификатов:
-
сейчас (до 15 марта 2026) – до 398 дней
-
15 марта 2026 – максимум 200 дней
-
15 марта 2027 – максимум 100 дней
-
15 марта 2029 – максимум 47 дней.
Одновременно сокращается период повторного использования валидаций: с 398 до 200, затем до 100 и, к 2029 году, до 10 дней.
- Что такое валидация?
- Почему приняли решение о снижение срока действия?
- Промежуточные сроки реализации принятого решения
- Преимущества принятого решения
- Как принятое решение повлияет на бизнес?
- Как принятое решение повлияет на обычных пользователей?
- Для кого это станет проблемой:
- Что можно (и нужно) сделать:
- Вывод
Что такое валидация?
В контексте TLS-сертификатов валидация – это процесс, с помощью которого удостоверяющий центр (CA, Certification Authority) проверяет, действительно ли заявитель (например, организация или физическое лицо) владеет доменом или организацией, указанной в сертификате.
Основные типы валидации:
-
DV (Domain Validation) – проверяется только владение доменом:
-
CA отправляет письмо на admin@yourdomain.com, размещает уникальный файл на сервере или DNS-запись.
-
Самый простой и автоматизированный способ.
-
Используется большинством бесплатных CA (например, Let’s Encrypt).
-
-
OV (Organization Validation) – проверяется домен и юридическое лицо:
-
Кроме владения доменом CA проверяет наличие организации в реестрах, звонит по телефону, сверяет контактные данные.
-
Используется для бизнеса и требует больше времени.
-
-
EV (Extended Validation) – расширенная проверка:
-
Самый строгий уровень: CA проверяет всё то же, что и для OV, но с дополнительными юридическими и финансовыми проверками.
-
Используется банками, госорганами, юр. системами.
-
Период действия валидации означает, сколько времени можно повторно использовать уже пройденную проверку. Сейчас – до 398 дней можно выпускать новые сертификаты без повторной валидации. После реформы — время будет сокращено до 200, 100 и далее до 10 дней соответственно.
Это значит, что даже для DV-сертификата через 10 дней CA заново должен убедиться, что домен всё ещё принадлежит заявителю. Почему это важно:
-
Позволяет минимизировать риск, если домен был передан новому владельцу.
-
Уменьшает шанс, что украденный доступ к домену позволит долго выпускать фальшивые сертификаты.
Почему приняли решение о снижение срока действия?
Текст обсуждения (ServerCert WG) подробно объясняет причины решения:
-
Недостаточная надёжность CRL / OCSP
Сервисы отзыва сертификатов не масштабируются и ненадежны, задержки — часты, статусы не обновляются вовремя.
-
Сокращение рисков после компрометации
Меньший срок действия ограничивает время, когда украденный или скомпрометированный сертификат может быть использован злоумышленниками.
-
Быстрое реагирование на уязвимости
Если найдены слабые криптографические алгоритмы или библиотеки, новые сертификаты можно выпустить быстрее.
-
Повышение надежности автоматизации
Переход к короткой жизни сертификатов стимулирует внедрение надёжных решений для автоматического выпуска и обновления.
Промежуточные сроки реализации принятого решения
Да, все сделано по уму, — указаны промежуточные сроки, к которым надо будет реализовать постепенное снижение срока действия сертификата. Никакого вам «задним числом» или «с момента вступления закона в силу». Сами сроки указаны в самом начале заметки выше.
Преимущества принятого решения
-
Улучшение безопасности – злоумышленникам сложнее будет использовать украденные сертификаты.
-
Сокращение зависимости от CRL/OCSP, которые ненадежны на глобальном уровне.
-
Более оперативное реагирование на уязвимости в криптографических алгоритмах и их реализациях.
-
Стимул для автоматизации – необходимость в современных CA/CDN, API-интеграции, DevOps-процессах.
-
Повышение общей устойчивости PKI-инфраструктуры.
Как принятое решение повлияет на бизнес?
-
Необходимость инвестиций в автоматизированные системы управления сертификатами (ACM, HashiCorp Vault, Certbot или отечественные решения).
Я не специалист в отечественном рынке PKI и не знаю, есть ли у нас соответствующие решения.
-
Рост операционных затрат. Частые обновления потребуют больше ресурсов и процессов CI/CD, но зато есть надежда, что компании и, особенно, госорганы, перестанут забывать обновлять выданные сертификаты.
-
Поэтапный подход (200 → 100 → 47 дней) даёт время адаптироваться.
Организации, которые уже автоматизировали PKI, получат преимущество – меньшие риски и высокую оперативность.
Правда, я не знаю, как к этому всему готовится Минцифры с нашим НУЦем…
Как принятое решение повлияет на обычных пользователей?
Для рядовых пользователей принятое решение несет ряд очевидных преимуществ, среди которых:
-
Снижение риска столкнуться с поддельными или скомпрометированными сайтами.
-
Меньше случаев «старых» сертификатов, которые могли быть скомпрометированы и долго оставаться активными.
-
Возможно, более стабильная и беспроблемная загрузка сайтов благодаря отказу от ненадежного OCSP/CRL.
Но для рядовых пользователей и, особенно, владельцев личных сайтов, особенно тех, кто использует бесплатные TLS-сертификаты (например, через Let’s Encrypt), сокращение срока действия валидации (до 10 дней) может оказать существенное влияние, особенно если они не используют автоматизацию. Вот как это проявится:
-
Валидация раз в ~13 месяцев (398 дней) → Валидация каждые 10 дней
-
Можно вручную продлевать сертификаты → Без автоматизации это будет невыносимо.
Для кого это станет проблемой:
-
Тех, кто вручную настраивает SSL. Каждый новый сертификат через 10 дней – новый цикл проверки.
-
Сайты на дешёвом хостинге без автоматизации. Не все провайдеры предложат простой способ настроить автообновление.
-
Проекты без активного админа. Например, заброшенные блоги, личные странички – сертификат истечет и сайт станет “небезопасным”.
Что можно (и нужно) сделать:
-
Настроить автоматическое обновление сертификатов через:
-
certbot с cron-задачей (для Let’s Encrypt).
-
встроенные средства хостинга (если поддерживает).
-
-
Перейти на хостинг, где HTTPS и автообновление сертификатов “из коробки”.
-
Следить за почтой – CA будут отправлять уведомления, когда нужно переоформить валидацию.
- Настроить систему уведомлений на соответствующий срок обновления сертификатов.
Я — не большой знаток российских хостеров и не знаю, кто из них предлагает такие возможности.
DigiCert в своём блоге подчёркивает важность автоматизации:
В 2029 году придётся обновлять сертификаты каждые 47 дней — без этого возможны сбои!
Let’s Encrypt уже действует согласно 90-дневной политике и готовится к 47-дневной модели.
Вывод
Решение CA/B Forum – это не просто сокращение срока действия сертификатов. Это стратегический шаг к надёжной и современной PKI‑инфраструктуре. Для бизнеса – призыв к автоматизации и повышению устойчивости. Для пользователей – более безопасный и надежный Интернет. Внедрение поэтапное, с достаточным запасом времени.
Владельцам личных сайтов придется научиться автоматизировать работу с TLS-сертификатами. Без этого – сертификат будет часто протухать, HTTPS ломаться, а браузеры пугать посетителей. В эпоху коротких сроков жизни TLS – это уже не “опция”, а новая норма.
Надеюсь, что НУЦ Минцифры готов к новым правилам игры!
