Сроки действия SSL-сертификатов сокращаются. Почему? И к чему готовиться бизнесу?

15 марта все ближе. Отмечать эту дату в календаре нас заставляет решение CA/Browser Forum о поэтапном сокращении сроков действия SSL-сертификатов. Сегодня мы хотим подробнее поговорить о том, что именно изменится и как к этому подготовиться, чтобы ресурсы, завязанные на эти сертификаты, продолжали нормально функционировать.

Для начала — краткое знакомство с «действующими лицами» нашей истории:

SSL-сертификат — это своего рода «цифровой паспорт» веб-сайта или веб-сервера. Он, во-первых, подтверждает подлинность ресурса, а во-вторых, обеспечивает шифрование данных между браузером пользователя и сервером.

Базовые сертификаты уровня DV (Domain Validation) подтверждают защищенное соединение и передачу данных в зашифрованном виде. Более высокие уровни (сертификаты с подтверждением существования организации — OV и сертификаты с расширенной проверкой организации — EV) позволяют убедиться, что сертификат принадлежит действительно существующей компании.

CA/Browser Forum — это добровольное объединение ведущих удостоверяющих центров и разработчиков интернет-браузеров (Google, Microsoft, Apple, Mozilla и др.). Именно оно разрабатывает обязательные стандарты и правила выдачи SSL-сертификатов, определяет, какие сертификаты следует считать доверенными, — и тем самым регулирует безопасность в интернете.

Год назад участники CA/Browser Forum проголосовали за сокращение сроков действия SSL-сертификатов. Если сейчас выпустить SSL-сертификат можно на 397 дней, то с 15 марта 2026 года максимальный срок их действия сократится почти в два раза — до 200 дней. Еще через год — еще в два раза: до 100 дней. А с 15 марта 2027 года сертификаты будут выдаваться на 47 дней.

Сокращение сроков действия SSL-сертификатов — хорошо это или плохо?

Для пользователей — скорее хорошо, чем плохо: чем чаще меняются сертификаты, тем лучше защищена от утечек информация, которую они передают сайтам. А это имена, фамилии, номера телефонов, данные платежных карт и даже паспортные данные. Если ключ безопасности оказывается скомпрометированным, злоумышленники могут перехватить эти данные на протяжении всего срока действия сертификата.

Условно говоря, если вы теряете ключи, любой, кто их найдет, теоретически имеет возможность проникнуть к вам в дом, пока вы не смените замки. Вот такую «замену замков» и предлагают в качестве решения проблемы участники CA/Browser Forum.

Проблема только в том, что «менять замки» владельцам интернет-ресурсов предстоит самим — и за свой счет. Впрочем, стоимость даже самого дорогого платного SSL-сертификата точно не превышает потенциальные риски, связанные с утечками пользовательских данных. Так что необходимость более частой смены сертификатов для бизнеса скорее не проблема, а неудобство: кому-то придется постоянно держать в голове необходимость их продления: как только срок действия SSL-сертификата истекает, доступ к привычным возможностям для пользователей блокируется. А для бизнеса все это уже означает прямые потери в деньгах.

Что компании могут сделать прямо сейчас, чтобы хотя бы отчасти облегчить себе жизнь?

Первое и главное — это воспользоваться оставшимся окном возможностей: до 14 марта включительно еще можно успеть выпустить сертификат, который будет действовать не 200, а 397 дней. ActiveCloud предлагает специальные тарифы для всех, кто успеет обратиться за оформлением SSl-сертификата, пока еще это можно сделать с сохранением максимального срока действия.

Что будет дальше?

Логичным шагом видится решение с автоматическим продлением SSL-сертификатов. Технически здесь нет ничего невозможного: пользователям бесплатных сертификатов это доступно уже давно. В случае с платными опциями ситуация сложнее: все-таки они подразумевают достаточно серьезные проверки владельцев таких сертификатов, причем не только на момент выпуска, но и при каждом продлении. И здесь мяч на стороне удостоверяющих центров и разработчиков.