З 15 березня 2026 року інтернет працює за новими правилами. Тихо, без гучних заголовків і прес-конференцій, набув чинності перший етап реформи, яку галузь обговорювала роками: максимальний термін дії TLS-сертифікатів скоротився вдвічі — з 398 до 200 днів. Це не кінцева точка. Це лише початок.
До 2029 року кожен сайт в інтернеті буде зобов’язаний оновлювати свій сертифікат кожні 47 днів. Для порівняння: ще у 2020 році сертифікат міг діяти два роки. Через п’ять років галузь рухається до циклу перевипуску, порівнянного з частотою зміни банківського пароля.
Рішення ухвалила організація CA/Browser Forum – орган, що об’єднує сертифікаційні центри та виробників браузерів. У квітні 2025 року резолюція SC081v3 була прийнята 29 голосами «за» при нульовій кількості противників. Apple, Google, Microsoft і Mozilla проголосували одностайно. Це винятковий випадок для галузі, де консенсус досягався з великими труднощами.
Що відбувається прямо зараз
Ми знаходимося на самому початку триетапного переходу. DigiCert – один з найбільших центрів сертифікації у світі – ще в лютому 2026 року оголосив про припинення видачі сертифікатів терміном понад 199 днів. SSL.com ввів аналогічне обмеження з 11 березня. До 15 березня зміни стали обов’язковими для всієї галузі.
Якщо ви встигли продовжити або придбати сертифікат до 15 березня 2026 року, браузери довірятимуть йому до закінчення його терміну – навіть якщо це відбудеться після введення нових правил. Нічого не зламається в одну мить. Але будь-який новий сертифікат, виданий після цієї дати, вже підпадає під обмеження в 200 днів.
Чому це сталося
Історія цієї реформи почалася задовго до 2025 року. Історично TLS-сертифікати могли діяти п’ять років. Потім три, потім два. У 2020 році Apple в односторонньому порядку обмежила довіру Safari до сертифікатів, термін дії яких перевищує 398 днів – і цей крок фактично встановив новий галузевий стандарт. Тепер та сама Apple ініціювала наступний, набагато радикальніший крок.
Логіка цього рішення проста, але вагома. Сертифікат — це знімок реальності на момент видачі. Він фіксує: цей домен належить цій організації, цей ключ є легітимним. Але реальність змінюється. Домени закінчуються і перехоплюються зловмисниками. Ключі компрометуються. Компанії реорганізуються. Чим довше діє сертифікат – тим вища ймовірність розбіжності між тим, що в ньому написано, і тим, що є насправді.
«Якщо сертифікат скомпрометований сьогодні і діє ще рік — це цілий рік невидимого доступу, перехоплення даних або фішингу. Сертифікат, термін дії якого закінчується через 47 днів, радикально звужує це вікно».
Окрема проблема — механізми відкликання сертифікатів (OCSP і CRL). Теоретично, якщо сертифікат скомпрометований, його можна відкликати, і браузер відмовиться йому довіряти. На практиці це працює погано: браузери часто не блокують з’єднання при невдалій перевірці відкликання (м’яка політика), сервери відкликання перевантажені, а дані в них нерідко застарілі. Короткий термін дії сертифіката – це вбудований захист, що не залежить від сторонніх інфраструктур.
Нарешті, є далекоглядний аргумент: підготовка до постквантової ери. Алгоритми RSA та ECDSA, на яких сьогодні тримається веб-PKI, до 2030-х років стануть вразливими перед квантовими комп’ютерами. Перехід на квантово-стійку криптографію вимагатиме масового перевипуску сертифікатів. Організації, які вже зараз налагодили автоматизоване управління сертифікатами, зможуть здійснити цей перехід плавно. Решта – ні.
Головна проблема: більшість організацій не готові
Управління життєвим циклом сертифікатів (Certificate Lifecycle Management, CLM) стало однією з головних операційних проблем для корпоративних IT-команд – випереджаючи навіть впровадження багатофакторної аутентифікації. І це при нинішніх 398-денних сертифікатах.
Що відбувається при скороченні терміну до 200 днів? Обсяг робіт з оновлення подвоюється. При 100 днях – збільшується вчетверо. При 47 – збільшується приблизно у вісім разів. За деякими підрахунками, на кожну тисячу сертифікатів до 2029 року доведеться проводити близько 7 766 операцій оновлення на рік.
Організації, які досі ведуть таблиці сертифікатів в Excel і оновлюють їх вручну, вже на першому етапі опиняться в ситуації системного стресу. До 2027 року, коли термін скоротиться до 100 днів, ручні процеси стануть практично неспроможними. До 2029-го – повністю.
Для операційних команд
Зміни поширюються лише на публічні TLS-сертифікати, видані довіреними центрами сертифікації. Внутрішні PKI для корпоративних додатків, тестових середовищ і закритих систем під дію SC081v3 не підпадають. Однак це хороший привід переглянути й внутрішню політику.
Нова реальність: автоматизація як базова вимога
Ключове слово нової епохи – ACME (Automated Certificate Management Environment). Це відкритий протокол, який дозволяє автоматично запитувати, отримувати, встановлювати та оновлювати сертифікати без участі людини. Саме на ньому працює Let’s Encrypt – сервіс, який вже зробив автоматизацію нормою для мільйонів невеликих сайтів.
Для великих організацій ACME – лише відправна точка. Корпоративне середовище складніше: сертифікати розкидані по серверах, балансувальниках навантаження, хмарних платформах, контейнерах, IoT-пристроях. Без централізованої інвентаризації неможливо навіть зрозуміти, скільки у вас сертифікатів і де вони знаходяться. Без цього знання автоматизація не працює.
Індустрія відреагувала активно. DigiCert, Sectigo, GlobalSign, CyberArk, AppViewX та десятки інших компаній активно просувають платформи CLM. Sectigo запустив хмарну платформу, що керує всім життєвим циклом: від видачі до відкликання. CyberArk пропонує безкоштовне сканування публічних сертифікатів для інвентаризації. GlobalSign підтримує ACME для всіх типів сертифікатів, включаючи OV та EV, без додаткової плати.
Принципово важливий момент: вартість сертифікатів не зростає. Більшість центрів сертифікації працюють за моделлю річної або багаторічної передплати, в рамках якої перевипуск сертифікатів є безкоштовним. Ви платите за покриття, а не за кожен виданий сертифікат.
Особливий випадок: 10-денне вікно верифікації домену
Окрім скорочення терміну дії сертифікатів, SC081v3 вводить ще одну радикальну зміну, яка часто залишається в тіні. До березня 2029 року період повторного використання даних Domain Control Validation (DCV) – підтвердження володіння доменом – скоротиться до 10 днів.
Зараз центр сертифікації може повторно використовувати результат верифікації домену протягом 398 днів. Тобто, якщо ви підтвердили володіння доменом сьогодні, наступні 13 місяців можна видавати сертифікати без повторної перевірки. З 2029 року це вікно становитиме 10 днів.
На практиці це означає, що при 47-денному сертифікаті верифікацію домену доведеться проходити при кожному оновленні. Це кратно збільшує навантаження на DNS-інфраструктуру та процеси DevOps. Саме тому експерти кажуть, що вже з 2027 року, коли термін скоротиться до 100 днів, ручне управління почне давати збій — не через саме оновлення сертифіката, а через необхідність регулярної реверифікації доменів.
Погляд у майбутнє
Те, що відбувається, — це не ізольована технічна зміна. Це частина масштабної перебудови інфраструктури довіри в інтернеті. Та сама логіка, що привела до 47-денних сертифікатів, через кілька років вимагатиме переходу на квантово-стійкі алгоритми. Організації, які до 2026–2027 років побудують автоматизований конвеєр управління сертифікатами, опиняться в принципово кращому становищі для цього наступного, ще більш складного переходу.
Один із керівників GlobalSign у недавньому інтерв’ю сформулював це так: інфраструктура автоматизації, яку компанії будують зараз для коротких сертифікатів, стане тією самою системою доставки для квантово-стійких сертифікатів, коли ті будуть готові. Хто зробить інвентаризацію та налагодить автоматичне оновлення зараз, тому не доведеться починати з нуля у 2030-х.
Три роки — достатній термін, щоб підготуватися. І занадто короткий, щоб відкладати.
Що варто зробити зараз
Провести інвентаризацію всіх TLS-сертифікатів в інфраструктурі. Визначити, де використовується ручний процес оновлення. Оцінити можливості впровадження ACME або платформ CLM. Переконатися, що команди розуміють нові часові рамки. Для невеликих сайтів – перейти на Let’s Encrypt або аналог з автооновленням.