Sdružení CA/Browser Forum (dobrovolné sdružení předních Certifikačních Autorit a tvůrců webových prohlížečů, jakými jsou např. Google, Apple, Mozilla, Microsoft, definující závazné standardy a pravidla pro vydávání SSL certifikátů), v dubnu 2025 odhlasovalo a schválilo harmonogram pro postupné zkracování validity SSL certifikátů ze současných 398 dnů na cílových 47 dnů.
Co to v praxi znamená?
Zkracování platnosti SSL certifikátů povede k tomu, že se budou muset SSL certifikáty obnovovat na serveru častěji. V případě finálního limitu 47 dní bude nutné vyměnit certifikát celkem 8x za 1 rok.
Proč k takové zásadní změně dochází?
Důvodů, proč sdružení CA/B rozhodlo a naplánovalo postupný harmonogram, je hned několik.
- Zvýšení bezpečnosti (častějšími obnovami certifikátů lze zamezit možným útokům a kompromitaci webu)
- Rychlejší reakce na změny a případné hrozby v podobě dešifrování klíčů
- Podpora automatizace při výměně certifikátů
Jak se dospělo právě k číslu 47?
Platnost 47 dní působí nezvykle (cca měsíc a půl), přesto existuje logický výpočet, s určitou navazující posloupností, jak se k němu dobrat.
- 200 dní = 6 měsíců (184 dní) + 1/2 měsíce s třiceti dny (15 dní) + 1 den rezervy
- 100 dní = 3 měsíce (92 dní) + přibližně 1/4 měsíce s třiceti dny (7 dní) + 1 den rezervy
- 47 dní = 1 měsíc (31 dní) + 1/2 měsíce s třiceti dny (15 dní) + 1 den rezervy
Tento model „liché“ doby platnosti je již dlouhou dobu standardním postupem CA/B Fora. Současný limit 398 dní byl vypočítán jako 1 rok (366 dní) + 1 měsíc (31 dní) + 1 den rezervy.
Jak bude postupné zkracování probíhat?
Zkracování platnosti SSL certifikátů neproběhne najednou. Na základě níže uvedeného harmonogramu dojde k finální úpravě ve 3 navazujících fázích.
Výchozí/aktuální stav (do 14. března 2026) bude maximální platnost SSL certifikátu 398 dní
- Od 15. března 2026 – bude max. platnost 200 dní (1. fáze zkracování)
- Od 15. března 2027 – bude max. platnost 100 dní (2. fáze zkracování)
- Od 15. března 2029 – bude max. platnost 47 dní (3. fáze zkracování)
Pozn. CA DIGICERT výše uvedenou změnu, platnou pro rok 2026, zveřejní již od 24. února 2026.
Budou SSL certifikáty vydané před 15. březnem 2026 automaticky zkráceny?
Nikoliv. Všechny certifikáty, vydané před termínem první fáze zkracování, budou platné po takovou dobu, na jakou byly vystaveny. Změna nastane při vytváření nového certifikátu po 15. březnu 2026 – tehdy už bude možné vystavit certifikát pouze s platností 200 dní.
Pozn. Certifikáty, vydané CA DIGICERT, budou platné na 200 dní již od 24. února 2026.
Jakmile jednotlivé změny pravidel vstoupí v platnost, Certifikační Autority už nebudou moci vydávat certifikáty s platností delší než 200 (2026) / 100 (2027) / 47 dní (2029)
Na
našem webu nabízíme SSL certifikáty od
CA Actalis, u kterých dojde ke změně platnosti
od 15. března 2026. Jedná se o tyto typy certifikátů:
- Actalis DV SSL
- Actalis DV SSL Wildcard
- Actalis DV SSL SAN
Ostatní nabízené SSL certifikáty patří do skupiny od CA Digicert a ke změně platnosti dojde již 24. února 2026. Jde o tyto certifikáty:
- RapidSSL
- RapidSSL Wildcard
- QuickSSL Premium
- QuickSSL Premium SAN
Jakým způsobem bude probíhat výměna SSL certifikátu v první fázi zkracování?
V první fázi zkracování platnosti SSL certifikátů, která nastane od 15. března 2026 (v případě CA Digicert od 24. března 2026), bude potřeba v průběhu 1 kalendářního roku provést instalaci 2 na sebe navazujících SSL certifikátů.
První SSL certifikát se vystaví po přijetí platby a po dokončení validace žadatele. Druhý, navazující se vystaví před expirací prvního SSL certifikátu. V případě instalace se bude postupovat následovně:
- Pokud se SSL certifikát instaluje na náš FORPSI server, provedeme výměnu (reinstalaci) sami. Součinnost zákazníka si vyžádáme pouze tehdy, bude-li to nezbytné a nebudeme-li z naší strany schopni danou překážku vyřešit.
- Pokud si zákazník instaluje SSL certifikát na vlastní server, bude potřeba sledovat expiraci prvního SSL certifikátu a jakmile jej vyzveme k aktivaci druhého SSL certifikátu, musí učinit nezbytné kroky k tomu, aby se druhý SSL certifikát vystavil včas a mohlo dojít i k jeho včasné výměně na serveru.