Skrócona ważność certyfikatów SSL do 200 dni w 2026 roku
16.01.2026
Z dniem 15 marca 2026 r. maksymalny okres ważności certyfikatów SSL zostanie skrócony. Zmiana będzie wdrażana etapami: w 2026 r. limit ważności zostanie obniżony do 200 dni, w 2027 r. do 100 dni, a docelowo — od 15 marca 2029 r. — do 47 dni.
Zmiana maksymalnej ważności publicznych certyfikatów SSL do 200 dni dotyczy wszystkich wystawców certyfikatów na świecie (wszystkich urzędów certyfikacji – CA) , a nie wyłącznie DigiCert. Jest ona wynikiem decyzji CA/Browser Forum, które definiuje globalne standardy zaufania dla certyfikatów SSL honorowanych przez przeglądarki internetowe i systemy operacyjne.
W tym kontekście DigiCert wdraża nowe limity ważności certyfikatów jako element dostosowania do obowiązujących i przyszłych wymagań branżowych oraz jako krok w kierunku zwiększenia bezpieczeństwa i automatyzacji zarządzania certyfikatami.
Co się zmienia?
Od dnia 15 marca 2026:
- DigiCert przestanie przyjmować żądania wydania certyfikatów SSL o ważności dłuższej niż 200 dni.
- Wszystkie nowo wydawane publiczne certyfikaty SSL będą miały maksymalnie 200 dni ważności.
- Zmiana obejmuje wszystkie typy publicznych certyfikatów SSL, w tym:
- DV (Domain Validation)
- OV (Organization Validation)
- EV (Extended Validation)
Harmonogram skracania ważności certyfikatów
| Okres wydania certyfikatu | Maksymalna ważność |
|---|---|
| Do 15 marca 2026 | 398 dni |
| 15 marca 2026 – 15 marca 2027 | 200 dni |
| 15 marca 2027 – 15 marca 2029 | 100 dni |
| Po 15 marca 2029 | 47 dni |
DigiCert stosuje limity o jeden dzień krótsze, aby zagwarantować pełną zgodność ze standardami.
Zamawianie certyfikatów
Zamówienia do 15 marca 2026
- Możliwe jest wydanie certyfikatu o ważności do 397 dni.
- O faktycznej długości ważności decyduje data wydania certyfikatu, a nie data złożenia zamówienia.
- Aby uzyskać certyfikat o dłuższej ważności, wszystkie etapy walidacji muszą zostać ukończone przed tą datą.
Zamówienia po 15 marca 2026
- Każdy nowy certyfikat SSL będzie miał maksymalnie 200 dni ważności.
Wymiany i duplikaty certyfikatów
- Wymiany oraz duplikaty certyfikatów wydane przed 15 marca 2026 mogą zachować ważność do 397 dni.
- Wymiany i duplikaty wydane po tej dacie będą ograniczone do 200 dni ważności.
Odnawianie certyfikatów
- Certyfikaty można odnawiać zgodnie z dotychczasowymi zasadami (np. 90 dni przed wygaśnięciem).
- Każdy certyfikat odnowiony po 15 marca 2026 będzie miał maksymalnie 200 dni ważności.
- W przypadku planów wieloletnich (Multi-Year Plans):
- każdy pojedynczy certyfikat wydany w ramach planu będzie ważny maksymalnie 200 dni.
Wpływ na już wydane certyfikaty
- Certyfikaty wydane przed 15 marca 2026 z dłuższą ważnością pozostają ważne do daty wygaśnięcia.
- Po ich wygaśnięciu konieczne będzie odnowienie w modelu 200-dniowym.
Powody skrócenia ważności certyfikatów
Skrócenie okresu ważności certyfikatów SSL jest elementem długoterminowej strategii poprawy bezpieczeństwa globalnego ekosystemu SSL.
1. Zwiększenie bezpieczeństwa
Krótsza ważność certyfikatu:
- ogranicza czas potencjalnego wykorzystania skompromitowanego klucza prywatnego,
- zmniejsza ryzyko długotrwałego użycia certyfikatów opartych na nieaktualnych danych.
2. Szybsze reagowanie na incydenty
W przypadku:
- naruszeń bezpieczeństwa,
- zmian w standardach kryptograficznych,
- wycofania algorytmów lub długości kluczy,
krótsze certyfikaty umożliwiają szybsze i naturalne wygaszanie ryzyka.
3. Aktualność danych domenowych i organizacyjnych
Częstsze odnawianie certyfikatów:
- wymusza regularną walidację domen i organizacji,
- ogranicza ryzyko stosowania certyfikatów z nieaktualnymi informacjami.
4. Promowanie automatyzacji
Skrócenie ważności certyfikatów:
- zachęca do wdrażania automatycznego wydawania i odnawiania certyfikatów,
- zmniejsza ryzyko przerw w działaniu usług spowodowanych ręcznym zarządzaniem.
5. Standaryzacja i przyszłość SSL
Zmiana przygotowuje rynek na:
- krótkoterminowe certyfikaty jako standard branżowy,
- dalsze skracanie okresów ważności certyfikatów w kolejnych latach.
Rozwiązanie: AUTOMATYZACJA
Na początku 2026 r. udostępnimy wszystkim klientom automatyzację opartą na standardzie ACME.
Dzięki automatyzacji nie będzie konieczne samodzielne generowanie klucza prywatnego ani pliku CSR. Zniknie również potrzeba kopiowania i przesyłania CSR-ów podczas składania zamówienia.
Korzystając z klienta ACME, aktywacja certyfikatu ograniczy się do uruchomienia jednej komendy — na przykład z użyciem klienta Certbot na serwerze Nginx.
Przedłużanie certyfikatów w automatyzacji
W przypadku certyfikatów zamawianych na okres jednego roku, proces ich wystawiania zostanie podzielony na dwa etapy:
- pierwszy certyfikat zostanie wystawiony z maksymalnym okresem ważności 200 dni,
- drugi certyfikat zostanie wystawiony na pozostały okres ważności, czyli 165 dni.
Automatyczne odnowienie
Wystawienie drugiego certyfikatu nastąpi automatycznie, bez konieczności podejmowania dodatkowych działań po stronie klienta.
- proces rozpocznie się 30 dni przed wygaśnięciem pierwszego certyfikatu 200-dniowego,
- zachowana zostanie ciągłość ważności certyfikatu oraz bezpieczeństwo usług,
- cały proces zostanie zrealizowany w ramach istniejącego zamówienia lub planu.
Dzięki temu rozwiązaniu przejście na krótsze okresy ważności certyfikatów jest w pełni automatyczne i transparentne dla użytkownika.
Przykład z zainicjowaniem certyfikatu z użyciem Certbot i serwera nginx:
sudo certbot \
--nginx \
--server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
--eab-kid 6YanrhV98KZfa46zJpsutd84asyxJn \
--eab-hmac-key 4tNvBvyHdpN83qQvtyxryrM5ky3zVzvAyLeWfLgtqe3AD \
--domain moja-domena.example.com
--domain www.moja-domena.example.comOdpowiednie dane autoryzacyjne udostępnimy w Panelu Klienta.