Prichádza ďalšie skrátenie platnosti TLS certifikátov.

22.1.2025 | Jindřich Zechmeister

Skrátenie platnosti SSL/TLS certifikátov už prebehlo za posledných 10 rokov niekoľkokrát. Teraz je v hre srátenie až na 45 dní, čo by znamenalo výmenu TLS certifikátu až 9x za rok ! S námi sa ho ale nemusíte báť. Čo to pre vás znamená a ako túto situáciu riešiť, sa dozviete v tomto článku.

História skracovania certifikátov

V začiatkoch SSL certifikátov chýbal jasný regulátor celého odvetvia, ktorým je dnes konzorcium CA/Browser Forum. To vzniklo v roku 2005 a prvým výsledkom ich činnosti boli o dva roky neskôr pravidlá pre EV certifikáty, ktoré týmto vznikli.

O chvíľu na to sa začalo diskutovať o maximálnej platnosti SSL certifikátov, pretože jeden pár kľúčov mohol byť používaný niekoľko rokov bez zmeny, čo neprispieva k bezpečnosti používateľov. V roku 2015 bola maximálna platnosť znížená na 3 roky (39 mesiacov); dovtedy sa vydávali certifikáty aj na 4-5 rokov. Ďalšie skrátenie prišlo v marci 2018, keď bola platnosť obmedzená na 27 mesiacov (825 dní).

Od septembra 2020 prebehlo ďalšie skrátenie. Spoločnosti Apple, Google a Mozilla presadili, že prehliadače budú považovať certifikáty staršie ako 398 dní za neplatné, čo fakticky nastavilo maximálnu platnosť na 1 rok a pár dní navyše. Tento stav platí doteraz, ale odborníci predpokladajú, že v budúcnosti k ďalšiemu skráteniu ešte dôjde.

Teraz sú opäť Apple s Googlom na čele ďalšej vlny skracovania a ich návrhy sa prejednávajú na pléne CA/Browser Fora. Zatiaľ nebolo nič záväzne rozhodnuté, ale návrh Apple je ešte odvážnejší ako ten od Google, ktorý chcel skrátenie na 90 dní. Teraz je platnosť certifikátu obmedzená na 398 dní.

Apple navrhuje skrátenie certifikátov na 47 dní a chce to dosiahnuť postupne. Nové certifikáty by mali maximálnu platnosť skrátenú natrias:

  • 200 dní s účinnosťou od marca 2026
  • 100 dní od marca 2027
  • 47 dní od marca 2028
    •

Je možné očakávať, že táto podoba bude nakoniec zavedená. Doteraz sa už stalo, že si Apple presadil svoju, keď jeho návrh nebol prijatý; všetci sa mu rovnako prispôsobili, pretože jeho prehliadač má nezanedbateľný podiel na trhu.

Ako sa na skrátenie pripraviť

Automatizujte životný cyklus certifikátov v predstihu - to je jediná rada, ktorú vám môžeme dať. Zavedenie automatizácie certifikátov nemusí byť náročné a zatiaľ je naň dosť času. Môžeme vám ponúknuť niekoľko spôsobov automatizácie certifikátov, všetky sú v praxi overené a funkčné.

Odporúčame vám tieto spôsoby automatizácie:

  • ACME protokol - štandardný protokol na získanie certifikátov, funguje pomocou tzv. ACME klientov, ktorých na trhu existuje veľké množstvo. Klient väčšinou vie nielen certifikát získať, ale aj nasadiť na server.
  • DigiCert Automation Manager - automatizácia založená na agentovi/sensoroch s použitím rozhrania CertCentral. Nad certifikátmi na svojich serveroch máte prehľad a môžete ich v rozhraní aj ovládať. Agenti ich potom na serveroch za vás spravujú.
  • Trust Lifecycle Manager v rámci DigiCert ONE je komplexný nástroj a dokáže sa napojiť na populárne nástroje a služby tretích strán. Uľahčuje tak integráciu najmä pre veľké spoločnosti.
  • KeyTalk CKMS server či služba. Certifikáty si dokáže sám zabezpečiť a nasadiť na koncové zariadenia vo vašej firme. Je možné použiť na automatizáciu TLS, ale aj S/MIME certifikátov.
  • Vlastnou integráciou našej API či API CA DigiCert.

Prvé štyri príklady dokážu spravovať celý životný cyklus certifikátu, tzn. od získania certifikátu, po jeho vydanie až k nasadeniu (na kompatibilný server). Pokryté je teda všetko a nemusíte sa o nič starať. Ak by ste vytvorili vlastnú automatizáciu a implementovali naše API, tak certifikát získate, ale nasadenie na server je stále vo vašej réžii.

Neváhajte sa s nami spojiť čo najskôr a nechajte si poradiť, ako automatizovať svoje TLS certifikáty už dnes bez nákladov navyše.

Prečo sa skrátenie deje?

Apple a Google sú presvedčení o tom, že skrátenie certifikátov všeobecne pomôže bezpečnosti na internete. Nižšie nájdete niekoľko hlavných argumentov pre skrátenie; najčastejšie spomínaným prínosom je zvýšenie bezpečnosti používateľov vďaka častejšej rotácii kľúčov.

Výhody kratších certifikátov

Certifikáty s kratšou platnosťou prispievajú k zlepšeniu bezpečnosti, pretože môžu v prípade potreby rýchlejšie priniesť nové technológie. Takýmto scenárom môže byť napríklad prechod na post-kvantovú kryptografiu (PQC) po prelomení RSA kvantovým počítačom (to nás určite v budúcnosti čaká). Kratšia platnosť certifikátu zaistí, že sa nové algoritmy dostanú na servery rýchlejšie.

Ďalším dôvodom môže byť minimalizácia škôd pri kompromitácii kľúčov. Ak dôjde k úniku súkromného kľúča, kratšia platnosť obmedzí časový priestor, kedy môže byť skompromitovaný certifikát zneužitý (obeť o kompromitácii väčšinou často ani nevie).

Dôležitý je tiež rozvoj automatizácie životného cyklu certifikátov, ktorý je týmto značným tlakom urýchľovaný. Správcovia certifikátov sú nútení automatizáciu certifikátov používať, čo je však v dôsledku v ich prospech.

Nevýhody

Medzi hlavné nevýhody patrí zvýšená záťaž správy. Väčšinou vyrieši automatizácia, ale vždy budú známe prípady, keď to nie je ľahké ani možné. U systémov, ktoré momentálne automatizáciu nepodporujú, bude potrebné čakať na doplnenie podpory zo strany výrobcu; správcovia budú dovtedy certifikáty spravovať ručne a budú mať viac práce. Organizácie, ktoré nebudú mať zavedenú automatizáciu správy certifikátov, môžu byť ochromené častejším obnovovaním certifikátov.

Problém určite nastane aj u IoT zariadení, ktoré neboli vyrobené s ohľadom na kratší životný cyklus certifikátov. Ak nebudú aktualizované, tak pravdepodobne dôjde ku kolízii týchto zariadení a použitých certifikátov s modernými prehliadačmi.

Neváhajte s nami automatizáciu konzultovať

Blížiace sa skrátenie certifikátov je veľkou zmenou, ale s nami to nemusí byť problém. Obráťte sa na nás a začnite certifikáty automatizovať; čím skôr tak učiníte, tým lepšie pre vás!

Predch. článok