С 15 марта 2026 года интернет работает по новым правилам. Тихо, без громких заголовков и пресс-конференций, вступил в силу первый этап реформы, которую отрасль обсуждала годами: максимальный срок действия TLS-сертификатов сократился вдвое – с 398 до 200 дней. Это не конечная точка. Это только начало.
К 2029 году каждый сайт в интернете будет обязан обновлять свой сертификат каждые 47 дней. Для сравнения: ещё в 2020 году сертификат мог жить два года. Пять лет спустя индустрия движется к циклу перевыпуска, сопоставимому с частотой смены банковского пароля.
Решение приняла организация CA/Browser Forum – орган, объединяющий удостоверяющие центры и производителей браузеров. В апреле 2025 года резолюция SC081v3 была принята 29 голосами «за» при нулевом числе противников. Apple, Google, Microsoft и Mozilla проголосовали единогласно. Это исключительный случай для отрасли, где консенсус давался с большим трудом.
Что происходит прямо сейчас
Мы находимся в самом начале трёхэтапного перехода. DigiCert – один из крупнейших удостоверяющих центров мира – ещё в феврале 2026 года объявил о прекращении выдачи сертификатов сроком более 199 дней. SSL.com ввёл аналогичное ограничение с 11 марта. К 15 марта изменения стали обязательными для всей отрасли.
Если вы успели продлить или купить сертификат до 15 марта 2026 года, браузеры будут доверять ему до истечения его срока – даже если это произойдёт после введения новых правил. Ничего не сломается в одночасье. Но любой новый сертификат, выданный после этой даты, уже подпадает под ограничение в 200 дней.
Почему это произошло
История этой реформы началась задолго до 2025 года. Исторически TLS-сертификаты могли действовать пять лет. Потом три, потом два. В 2020 году Apple в одностороннем порядке ограничила доверие Safari к сертификатам длиннее 398 дней – и этот шаг фактически установил новый отраслевой стандарт. Теперь та же Apple инициировала следующий, куда более радикальный шаг.
Логика за этим решением проста, но весома. Сертификат – это снимок реальности на момент выдачи. Он фиксирует: этот домен принадлежит этой организации, этот ключ легитимен. Но реальность меняется. Домены истекают и перехватываются злоумышленниками. Ключи компрометируются. Компании реорганизуются. Чем дольше живёт сертификат – тем выше вероятность расхождения между тем, что в нём написано, и тем, что есть на самом деле.
«Если сертификат скомпрометирован сегодня и действует ещё год – это целый год невидимого доступа, перехвата данных или фишинга. Сертификат, истекающий через 47 дней, радикально сужает это окно.»
Отдельная проблема – механизмы отзыва сертификатов (OCSP и CRL). Теоретически, если сертификат скомпрометирован, его можно отозвать, и браузер откажется ему доверять. На практике это работает плохо: браузеры часто не блокируют соединения при неудачной проверке отзыва (мягкая политика), серверы отзыва перегружены, а данные в них нередко устаревшие. Короткий срок жизни сертификата – это встроенная защита, не зависящая от сторонних инфраструктур.
Наконец, есть дальновидный аргумент: подготовка к пост-квантовой эре. Алгоритмы RSA и ECDSA, на которых сегодня держится веб-PKI, к 2030-м годам станут уязвимы перед квантовыми компьютерами. Переход на квантово-устойчивую криптографию потребует массового перевыпуска сертификатов. Организации, которые уже сейчас выстроили автоматизированное управление сертификатами, смогут провести этот переход плавно. Остальные – нет.
Главная проблема: большинство организаций не готовы
Управление жизненным циклом сертификатов (Certificate Lifecycle Management, CLM) стало одной из главных операционных проблем для корпоративных IT-команд – опережая даже внедрение многофакторной аутентификации. И это при нынешних 398-дневных сертификатах.
Что происходит при сокращении срока до 200 дней? Объём работ по обновлению удваивается. При 100 днях – учетверяется. При 47 – увеличивается примерно в восемь раз. По некоторым подсчётам, на каждую тысячу сертификатов к 2029 году придётся проводить около 7 766 операций обновления в год.
Организации, которые до сих пор ведут таблицы сертификатов в Excel и обновляют их вручную, уже на первом этапе окажутся в ситуации системного стресса. К 2027 году, когда срок сократится до 100 дней, ручные процессы станут практически несостоятельными. К 2029-му – полностью.
Для операционных команд
Изменения распространяются только на публичные TLS-сертификаты, выданные доверенными удостоверяющими центрами. Внутренние PKI для корпоративных приложений, тестовых сред и закрытых систем под действие SC081v3 не подпадают. Однако это хороший момент пересмотреть и внутреннюю политику.
Новая реальность: автоматизация как базовое требование
Ключевое слово новой эпохи – ACME (Automated Certificate Management Environment). Это открытый протокол, который позволяет автоматически запрашивать, получать, устанавливать и обновлять сертификаты без участия человека. Именно на нём работает Let’s Encrypt – сервис, который уже сделал автоматизацию нормой для миллионов небольших сайтов.
Для крупных организаций ACME – лишь отправная точка. Корпоративная среда сложнее: сертификаты разбросаны по серверам, балансировщикам нагрузки, облачным платформам, контейнерам, IoT-устройствам. Без централизованной инвентаризации невозможно даже понять, сколько у вас сертификатов и где они находятся. Без этого знания автоматизация не работает.
Индустрия отреагировала активно. DigiCert, Sectigo, GlobalSign, CyberArk, AppViewX и десятки других компаний активно продвигают платформы CLM. Sectigo запустил облачную платформу, управляющую всем жизненным циклом: от выдачи до отзыва. CyberArk предлагает бесплатное сканирование публичных сертификатов для инвентаризации. GlobalSign поддерживает ACME для всех типов сертификатов, включая OV и EV, без дополнительной платы.
Принципиально важный момент: стоимость сертификатов не растёт. Большинство удостоверяющих центров работают по модели годовой или многолетней подписки, в рамках которой перевыпуск сертификатов бесплатен. Вы платите за покрытие, а не за каждый выданный сертификат.
Особый случай: 10-дневное окно верификации домена
Помимо сокращения срока сертификатов, SC081v3 вводит ещё одно радикальное изменение, которое часто остаётся в тени. К марту 2029 года период переиспользования данных Domain Control Validation (DCV) – подтверждения владения доменом – сократится до 10 дней.
Сейчас удостоверяющий центр может повторно использовать результат верификации домена в течение 398 дней. То есть, если вы подтвердили владение доменом сегодня, следующие 13 месяцев можно выпускать сертификаты без повторной проверки. С 2029 года это окно составит 10 дней.
На практике это означает, что при 47-дневном сертификате верификацию домена придётся проходить при каждом обновлении. Это кратно увеличивает нагрузку на DNS-инфраструктуру и процессы DevOps. Именно поэтому эксперты говорят, что уже с 2027 года, когда срок сократится до 100 дней, ручное управление начнёт ломаться – не из-за самого обновления сертификата, а из-за необходимости регулярной реверификации доменов.
Взгляд вперёд
Происходящее – не изолированное техническое изменение. Это часть масштабной перестройки инфраструктуры доверия в интернете. Та же логика, что привела к 47-дневным сертификатам, через несколько лет потребует перехода на квантово-устойчивые алгоритмы. Организации, которые к 2026–2027 годам выстроят автоматизированный конвейер управления сертификатами, окажутся в принципиально лучшей позиции для этого следующего, ещё более сложного перехода.
Один из руководителей GlobalSign в недавнем интервью сформулировал это так: инфраструктура автоматизации, которую компании строят сейчас для коротких сертификатов, станет той же самой доставочной системой для квантово-устойчивых сертификатов, когда те будут готовы. Кто сделает инвентаризацию и наладит автоматическое обновление сейчас, тому не придётся начинать с нуля в 2030-х.
Три года – достаточный срок, чтобы подготовиться. И слишком короткий, чтобы откладывать.
Что стоит сделать сейчас
Провести инвентаризацию всех TLS-сертификатов в инфраструктуре. Определить, где используется ручной процесс обновления. Оценить возможности внедрения ACME или платформ CLM. Убедиться, что команды понимают новые временные рамки. Для небольших сайтов – перейти на Let’s Encrypt или аналог с автообновлением.