Koniec certyfikatów SSL na rok. Co już się zmieniło i co czeka nas dalej? | VOBACOM | Inteligentne rozwiązania dla firm i instytucji

W marcu 2026 roku weszły w życie nowe regulacje skracające ważność certyfikatów SSL. Mamy do czynienia z jedną z kluczowych zmian w bezpieczeństwie stron internetowych ostatnich lat. Jeśli to dla Ciebie nowość, ten wpis jest idealnym punktem wyjścia. Przepisy te bezpośrednio wpływają na każdą firmę obecną w sieci, bez wyjątku obejmując właścicieli witryn korporacyjnych oraz platform e-commerce.

Certyfikat SSL, a precyzyjniej TLS, ponieważ tak nazywa się nowszy i aktualnie obowiązujący standard, odpowiada za dwie kluczowe kwestie:

• Szyfruje połączenie między przeglądarką użytkownika a serwerem strony, dzięki czemu nikt nie przechwyci przesyłanych danych, takich jak hasła czy dane kart płatniczych.
• Potwierdza tożsamość firmy, dając pewność, że klient korzysta z bezpiecznej, oficjalnej witryny, a nie ze spreparowanej kopii stworzonej przez cyberprzestępców.

Dla użytkownika efekt jest bardzo prosty do zauważenia, ponieważ sprowadza się do charakterystycznej kłódki w pasku adresu oraz przedrostka HTTPS zamiast HTTP. Sytuacja drastycznie zmienia się w momencie, gdy certyfikat wygasa. Przeglądarka natychmiast blokuje wtedy dostęp do strony i wyświetla duży, czerwony komunikat ostrzegawczy. W takiej sytuacji większość odwiedzających po prostu rezygnuje z dalszego przeglądania witryny i natychmiast ją opuszcza.

Do niedawna certyfikat SSL można było wydać na maksymalnie 398 dni, czyli na ponad trzynaście miesięcy. W praktyce oznaczało to, że wystarczyło zająć się tym tematem raz w roku, aby zachować ciągłość zabezpieczeń i mieć spokój przez kolejne dwanaście miesięcy. Było to bardzo wygodne rozwiązanie, jednak świat cyberbezpieczeństwa dynamicznie idzie do przodu.

CA/Browser Forum, czyli konsorcjum zrzeszające urzędy certyfikacji oraz twórców przeglądarek pokroju Google, Apple czy Mozilla, uznało roczny model za niewystarczający z punktu widzenia współczesnego bezpieczeństwa. W efekcie instytucje te wprowadziły plan stopniowego skracania maksymalnego okresu ważności certyfikatów TLS.

• Od 15 marca 2026 roku obowiązuje limit 200 dni.
• Od marca 2027 roku czas ten skróci się do 100 dni.
• W marcu 2029 roku limit spadnie do zaledwie 47 dni.

Warto wyraźnie podkreślić, że nie mówimy tutaj o luźnych rekomendacjach, lecz o twardych standardach egzekwowanych bezpośrednio przez przeglądarki internetowe. Każdy certyfikat wydany niezgodnie z nowymi limitami zostanie automatycznie uznany za nieważny, przez co strona po prostu przestanie się wyświetlać użytkownikom.

Na pierwszy rzut oka może to wyglądać jak niepotrzebne komplikowanie czegoś, co dobrze działało. Powody są jednak bardzo solidne:

1. Szybsza reakcja na zagrożenia: Gdy klucz prywatny certyfikatu zostanie skompromitowany (czyli przejmie go ktoś niepowołany), stanowi on zagrożenie przez cały okres swojej ważności. Krótszy cykl życia to znacznie krótszy czas ekspozycji na atak.
2. Nowoczesna kryptografia: Algorytmy szyfrowania stale ewoluują, ponieważ stare i podatne na złamanie rozwiązania są sukcesywnie wycofywane, a ich miejsce zajmują nowe, bezpieczniejsze wersje. Dzięki krótszym cyklom ważności przestarzałe technologie znacznie szybciej znikają z obiegu, co podnosi ogólny poziom bezpieczeństwa w sieci.
3. Higiena sieciowa: Wiele firm posiada aktywne certyfikaty na domeny, które od dawna nie istnieją lub o których wszyscy zapomnieli. Krótszy czas ważności wymusza regularne czyszczenie zasobów.
4. Era komputerów kwantowych: To dalekosiężna, ale potencjalnie bardzo realna perspektywa. Superkomputery nowej generacji mogą być w stanie w krótkim czasie złamać obecnie stosowane klucze szyfrujące. Przejście na krótsze okresy ważności certyfikatów pozwoli branży IT przetestować i przygotować globalną infrastrukturę na bezpieczne wdrożenie nowych, znacznie silniejszych standardów kryptograficznych.

Korzystasz z hostingu z automatycznym odnawianiem, jak Let's Encrypt?
W teorii nie musisz robić nic. W praktyce warto jednak upewnić się, że automatyzacja działa bez zarzutu, a Twój dostawca hostingu dostosował systemy do nowych limitów. Krótkie zapytanie do wsparcia technicznego da Ci pełen spokój.

Odnawiasz certyfikaty ręcznie?
Ten model odchodzi w przeszłość. Przy limicie 200 dni można to jeszcze kontrolować, ale przy 100 czy 47 dniach ręczne odnawianie staje się logistycznym koszmarem. Bez automatyzacji każde, nawet jednodniowe przeoczenie skończy się awarią strony. Na rynku są już dostępne sprawdzone i w pełni stabilne rozwiązania, które automatyzują ten proces bez angażowania cennego czasu. Świetnym przykładem jest darmowy standard Let's Encrypt wykorzystujący protokół ACME oraz narzędzie Certbot, a także natywne mechanizmy wdrożone w chmurach AWS, Google Cloud czy Microsoft Azure.

Zarządzasz wieloma domenami w firmie?
Dla organizacji zarządzających dziesiątkami lub setkami domen nowe limity oznaczają poważne wyzwanie logistyczne. W takich realiach optymalnym krokiem jest wdrożenie centralnego systemu zarządzania certyfikatami klasy CLM, do których należą między innymi Venafi, Keyfactor czy Sectigo Certificate Manager. Narzędzia te zapewniają pełny wgląd w stan całej infrastruktury i pozwalają całkowicie zautomatyzować cykl życia każdego certyfikatu w firmie.

• Sprawdź ważność obecnego certyfikatu: Pierwszym i najprostszym krokiem, który możesz wykonać samodzielnie, jest sprawdzenie ważności obecnego certyfikatu. Wystarczy kliknąć ikonę kłódki w przeglądarce lub wkleić adres swojej strony do bezpłatnego narzędzia na stronie ssllabs.com/ssltest, aby otrzymać pełny raport o stanie bezpieczeństwa witryny.
• Zweryfikuj automatyzację: Kolejny krok to weryfikacja automatyzacji. Nie warto zakładać w ciemno, że proces odnawiania działa bez zarzutu, dlatego dobrze jest potwierdzić to u swojego dostawcy usług.
• Zrób audyt domen: Jeśli zarządzasz infrastrukturą firmy, konieczne będzie przeprowadzenie audytu domen. Warto zinwentaryzować wszystkie domeny oraz subdomeny, ponieważ praktyka pokazuje, że przedsiębiorstwa bardzo często posiadają aktywne certyfikaty, o których istnieniu nikt już nie pamięta. Jeżeli czujesz, że ten proces zaczyna Cię przytłaczać, pamiętaj, że możesz przekazać to zadanie ekspertom.

Sprawne dostosowanie się do kolejnych etapów przepisów, które skrócą ważność certyfikatów do 100, a docelowo do 47 dni, będzie bezbolesne dla firm wykorzystujących sprawdzoną automatyzację. Pozostałe podmioty będą nadrabiać zaległości pod presją czasu, co w świecie cyberbezpieczeństwa nigdy nie kończy się dobrze.

Doskonale rozumiemy, że nowe wytyczne wymagają dodatkowej uwagi, a pilnowanie tak krótkich terminów bywa po prostu uciążliwe. Nie musisz jednak wdrażać tych zmian na własną rękę. W Vobacom pomożemy Ci bezpiecznie przejść przez cały proces. Przeanalizujemy infrastrukturę Twoich domen i wdrożymy stabilne systemy automatyzacji, które zagwarantują ciągłość działania certyfikatów. Dzięki temu Twoje strony pozostaną bezpieczne, a Ty będziesz mógł skupić się na rozwoju swojego biznesu.