Készüljön fel a tanúsítványok érvényességének csökkentésére

A nyilvános TLS tanúsítványok maximális érvényessége fokozatosan csökken az elkövetkező évek során:

• 2026. március 15-ig a TLS tanúsítvány maximális érvényessége 398 nap.
• 2026. március 15-től a TLS tanúsítvány maximális érvényessége 200 nap.
• 2027. március 15-től a TLS tanúsítvány maximális érvényessége 100 nap.
• 2029. március 15-től a TLS tanúsítvány maximális érvényessége 47 nap.

Rövidül az újbóli felhasználhatóság maximális ideje is a domain- és IP-cím ellenőrzési adataira vonatkozóan:

• 2026. március 15-ig az ellenőrzési adatok újbóli felhasználhatóságának maximális ideje 398 nap.
• 2026. március 15-től az ellenőrzési adatok újbóli felhasználhatóságának maximális ideje 200 nap.
• 2027. március 15-től az ellenőrzési adatok újbóli felhasználhatóságának maximális ideje 100 nap.
• 2029. március 15-től az ellenőrzési adatok újbóli felhasználhatóságának maximális ideje 10 nap.

A tanúsítvány maximális érvényessége azt az időszakot határozza meg, ameddig a tanúsítvány érvényesnek tekinthető. Ahhoz, hogy a tanúsítványkiadó hatóság (CA) kiadhassa a tanúsítványt, meg kell győződnie arról, hogy a kérelmező valóban birtokolja a tanúsítványban jelzett domain nevet vagy IP-címet.

Ha ma van egy tanúsítványa, és a jelenlegi szabályok szerint évente egyszer megújítja, minden megújításkor újraellenőrzik a domain feletti ellenőrzést.

Mi történik azonban akkor, ha a tanúsítványt még a lejárat előtt meg kell újítani – például ha a privát kulcs kompromittálódik? Ebben az esetben a CA ismételten felhasználhatja az utolsó megújításkor végzett ellenőrzést, így elkerülhető az új hitelesítés szükségessége. Ez azért lehetséges, mert még nem járt le a domain ellenőrzés újbóli felhasználhatóságának maximális időszaka.

Az alapkövetelmények (a CA/B Fórum szabályai a tanúsítványok kiadására vonatkozóan) mindig meghatározták ezeket az időtartamokat, de a gyakorlatban legtöbbször azonos értékekkel.

Az új szabályozás utolsó szakaszában – amikor a tanúsítvány érvényességi ideje 47 nap, miközben a domain ellenőrzést csak 10 napig lehet ismételten felhasználni – a cél az ellenőrzések gyakoribbá tétele. A CA/B Fórum abból indul ki, hogy a domain feletti ellenőrzés eredményei nagyon gyorsan elavulhatnak.

Ugyanaz a domain ellenőrzési ütemterv vonatkozik az OV és EV tanúsítványokra is. Fokozatosan ugyanazokat az ellenőrzési időközöket kell alkalmazni a domain ellenőrzésére, mint a DV tanúsítványoknál, azaz 200 / 100 / 10 nap.

Az OV és EV tanúsítványokban szereplő további adatok (például a szervezet neve és címe) azonban csak 398 naponta igényelnek megújítást. Míg a domain ellenőrzést ajánlott, sőt szükséges automatizálni, ezek a további információk nem tehetők teljes mértékben automatizálttá.

Nem, nem pontosan. A korlátozás azokra a tanúsítványokra vonatkozik, amelyeket a tanúsítványkiadó hatóságok (CA-k) kiadhatnak, nem pedig azokra, amelyeket a böngészők elfogadhatnak.

A böngésző csak azt ellenőrzi, hogy az aktuális dátum a tanúsítvány érvényességi időszaka alatt van-e.

Amint a szabályozás módosításai életbe lépnek, a tanúsítványkiadó hatóságok nem bocsáthatnak ki TLS tanúsítványokat hosszabb érvényességgel, mint 200 / 100 / 47 nap.

Egy tanúsítvány, amely 398 napos érvényességgel rendelkezik, és amelyet kiadtak a változás hatályba lépése előtt, továbbra is érvényes lesz a lejáratáig. Ugyanez érvényes a 200 napos tanúsítványokra a 100 napos limitig történő átmenetkor, valamint a 100 napos tanúsítványokra a 47 napos limitig történő átmenetkor.

Nem, az alapvető követelmények csak a nyilvános tanúsítványkiadó hatóságokra vonatkoznak.

A belső PKI a hálózaton vagy a felhőn belül működik. Tartalmaz tanúsítványkiadó hatóságokat, de Ön határozza meg, milyen szabályokat alkalmaznak a belső tanúsítványkiadók – beleértve a tanúsítványok érvényességi idejét. Érdemes lehet rövid érvényességi időt választani a belső PKI esetén is, de ez nem kötelező. Az összes belső PKI-szoftvert saját maga is üzemeltetheti, de ez összetett és hibalehetőségekkel teli feladat. A DigiCert különböző belső PKI megoldásokat kínál vállalati, felhő- és gyártási szcenáriókhoz.

Nem. A rendelés időtartama alatt (években) nincs további költség sem az újrakiadásért, sem a tanúsítványok cseréjéért. A rendelés érvényességi ideje alatt korlátlan számú újbóli kiadást (reissue) végezhet.

Nem, csak a köztes tanúsítványkiadó hatóság által kiadott végső (leaf) tanúsítványokra vonatkoznak. Nincsenek általános szabályok a CA/B Fórum vagy más szabványosító szervezetek részéről, amelyek korlátoznák a root és intermediate tanúsítványok érvényességi időtartamát, de léteznek bevált gyakorlatok, és a szoftvergyártók saját szabályokat alkotnak (például a Mozilla Root Store Policy lefekteti a bizalmatlanságot 15 év után a kulcs létrehozásánál, a Google Root Program Policy 1.6-os verziója (2025. február 15.) eltávolítja a 15 évnél régebbi kulcsú rootokat és a 2014. április 16. előtt létrehozott kulcsokat éves ütemterv szerint; a Microsoft Trusted Root Program az újonnan kiadott Root CA-k érvényességét minimum 8, maximum 25 évre korlátozza a benyújtástól számítva). Adminisztratív bevált gyakorlat, hogy a CA gyökértanúsítvány nem jár le korábban, mint a hozzá kapcsolt köztes tanúsítvány. A root/köztes tanúsítványok életciklusának rossz kezelése súlyos következményekkel járhat (például kimaradásokat okozott a közelmúltban a Google esetében).

A Mozilla Root Store Policy (7.4 szakasz) szerint a Mozilla nem fogja elfogadni a root tanúsítványokat 15 évvel a kulcs létrehozása után.

A Chrome Root Program Policy, 1.6-os verzió (2025. február 15.) érvényességi időre vonatkozó szabályai összetettebbek. Nincs konkrét maximális érvényességi korlát, de „bármely CA root tanúsítvány, amely olyan kulcsanyagot tartalmaz, amelyet 15 évvel ezelőtt hoztak létre, fokozatosan eltávolításra kerül a Chrome Root Store-ból.” A 2014. április 16. előtt létrehozott kulcsokat tartalmazó rootok a Root Program Policy által meghatározott évenkénti ütemterv szerint kerülnek eltávolításra.

A Microsoft Trusted Root Program szerint „az újonnan kiadott gyökértanúsítvány-kiadó hatóságok (Root CA) legalább nyolc és legfeljebb 25 évre kell, hogy érvényesek legyenek a benyújtási dátumtól számítva”. A Microsoft és a többi program politikája közötti különbségek a PKI-ben támogatott alkalmazások sokféleségének köszönhetők, amely a Microsoftnál szélesebb spektrumot ölel fel, mint más böngészőknél.

A fentiekből következő bevált gyakorlat, hogy a CA root tanúsítvány nem jár le korábban, mint a hozzá kapcsolt köztes tanúsítvány.

A CA root és köztes tanúsítványok életciklusának rossz kezelése súlyos következményekkel járhat, amint azt nemrégiben láthattuk, amikor egy elfelejtett köztes tanúsítvány, amely a Google egyik tanúsítványának része volt, lejárt, és sok Google Chromecast-eszközt hagyott szolgáltatás nélkül.

Általános és egyszerű esetekhez, mint a webszerverek és nyilvános TLS tanúsítványok, az automatizálás a CertCentral ügyfelek számára ingyenes a széles körben támogatott Automated Certificate Management Environment (ACME) és ACME Renewal Information (ARI) szabványok révén.

Természetesen nem minden tanúsítvány nyilvános TLS, és nem minden technológia támogatja az ACME-t. Az ilyen esetekre a DigiCert Trust Lifecycle Manager fejlett automatizálási és integrációs lehetőségeket kínál.

Az ACME használatával történő automatizálás nem csupán egy „pipa a listán”. Szükség van bizonyos változtatásokra az eszközön vagy alkalmazásban (jellemzően a webszerveren), amely a tanúsítványt igényli. A legtöbb rendszergazdának ez egyszerű folyamat, és jól dokumentált.

Az ACME az Automated Certificate Management Environment.
Az ARI az ACME Renewal Information.

Az ACME egy olyan szabvány, amelyet minden nagyobb tanúsítványkiadó hatóság támogat, és amelyen keresztül a kliens tanúsítványszoftver (jellemzően egy webszerver) tanúsítványt kér a tanúsítványkiadó hatóságtól, majd telepíti azt a kliensre. (Ebben a forgatókönyvben a webszerver a kliens).

A kliens szoftvernek is támogatnia kell az ACME-t. A támogatás elterjedt, de nem univerzális. Egy ACME kliens program általában ütemezés szerint fut a kliens rendszeren, például Linux cron vagy Windows Feladatütemező segítségével, de léteznek más megoldások is, amelyek az ütemezést nagyobb termékekbe integrálják.

Az ARI egy kapcsolódó szabvány, amelynek segítségével a szerver ajánlást tud adni az ütemtervhez, hogy a kliens tudja, mikor kell a tanúsítványt megújítania, mielőtt lejár. Ha helyesen van beállítva, az ARI visszavonás (revokáció) esetén újra is tudja ütemezni a megújítást, hogy elkerülje a szolgáltatáskimaradást.

Az új TLS tanúsítvány szabályok szerint 2026. március 15-től az alany azonosítási információinak (Subject Identity Information, SII) újbóli felhasználhatósága csak 398 napig lesz lehetséges, a jelenlegi 825 nap helyett.

Ez azt jelenti, hogy a legnagyobb hatás az OV és EV tanúsítványokra az lesz, hogy évente újra kell ellenőrizni az alany azonosítási információit (SII) — tehát a tanúsítványban szereplő adatokat, amelyek azonosítják a szervezetét — és nem elegendő több évre előre érvényesíteni őket.

A TLS-alapfeltételek szerint ez évente telefonhívást igényel a DigiCert képviselőjével, ezért a folyamat nem automatizálható teljes mértékben.

Vegye figyelembe, hogy az OV és EV tanúsítványok domainneveket is védenek, ezért azok érvényessége ugyanolyan ütemterv szerint változik, mint a DV tanúsítványoké: 200 nap 2026-ban, 100 nap 2027-ben és 47 nap 2029-ben. A tanúsítványok kezelésének automatizálása ezért ugyanolyan fontos, mint a DV tanúsítványok esetén.

A 47 napos szám elsőre véletlenszerűnek tűnhet, de egyszerű számsorrendet követ:

• 200 nap = 6 maximális hónap (184 nap) + 1/2 harmincnapos hónap (15 nap) + 1 nap tartalék
• 100 nap = 3 maximális hónap (92 nap) + körülbelül 1/4 harmincnapos hónap (7 nap) + 1 nap tartalék
• 47 nap = 1 maximális hónap (31 nap) + 1/2 harmincnapos hónap (15 nap) + 1 nap tartalék

Ez a modell, amely szerint az „egyedi” érvényességi időket állapítják meg a hozzáadott tartalékokkal, már régóta a CA/B Fórum standard eljárása. A jelenlegi 398 napos limitet egy maximális év (366 nap) + egy maximális hónap (31 nap) + 1 nap tartalékként határozták meg.

Igen, a szabályok szerint további 398 napot kaphat, ha tanúsítványait 2026. március 15. előtt megújítja. Ez azonban egy egyszeri meghosszabbítás – a következő megújításkor a maximális érvényességi idő 200, majd később 100, végül 47 napra csökken. Ne felejtsen el időben automatizálást beállítani, hogy felkészüljön a rövidebb érvényességi időkre.

Ha új kulccsal (rekey) szeretné újrakiadni a tanúsítványt 2026. március 15. után, a DigiCertnek (és más nyilvános tanúsítványkiadó hatóságoknak) be kell tartania a hatályos szabályokat, amelyek a legjobb esetben is csak 200 nap érvényességű tanúsítvány kiadását teszik lehetővé.

Az automatizálás bevezetésének legjobb időpontja minél előbb van – így biztosítható, hogy az eljárás zökkenőmentesen működjön, és ne kockáztassa a tanúsítvány lejárata vagy más problémák miatti szolgáltatáskimaradást.

A nyilvános TLS tanúsítványok piaca nagyrészt a böngészőkben használt tanúsítványokra összpontosul, amelyek tipikusan valamilyen webszerverre vannak telepítve, de számos egyéb felhasználási eset is létezik. Ilyenek például a VPN átjárók és bizonyos Internet of Things (IoT) eszközök.

Ezeknek az eszközöknek is fel kell gyorsítaniuk a tanúsítvány életciklusának kezelését (CLM). Számos eszköz támogatja az ACME-t vagy más automatizálási protokollokat, ezért a paraméterek megváltoztatása nem feltétlenül jelent nagy problémát. Más esetekben létezhet alternatív automatizálási mechanizmus, vagy egyáltalán nincs beépített támogatás – ilyen helyzetekben a felhasználónak magának kell megoldania az automatizálást.

A szigorodó ütemtervhez való alkalmazkodás gyakori kihívás lesz ezeknél az eszközöknél. Fontos, hogy teljes leltárt készítsenek az érintett eszközökről; ebben a DigiCert is tud segítséget nyújtani.