Na forum CA/Browser (CA/B) w Bratysławie na Słowacji firma Apple ogłosiła, że od 1 września 2020 nowo wydane publicznie zaufane certyfikaty TLS są ważne nie dłużej niż 398 dni. Nastąpiło to po długich pracach społeczności CA/B Forum nad skróceniem żywotności certyfikatów i poprawą bezpieczeństwa, równoważąc jednocześnie potrzeby właścicieli firm w zakresie przechodzenia na certyfikaty o krótszej ważności.

Kiedy nastąpią zmiany?

Sectigo – od 19 sierpnia 2020 roku
DigiCert – od 27 sierpnia 2020 roku
Wszyscy inni CA – począwszy od 1 września 2020 roku

Co to jest wieloletnia subskrypcja certyfikatu SSL?

Aby pomóc Klientom w czerpaniu korzyści z krótszych okresów ważności certyfikatów i jeszcze bardziej ułatwić zarządzanie certyfikatami, oferujemy certyfikaty TLS/SSL z planem wieloletnim. Ten nowy typ wieloletniej ochrony to oszczędzający czas i opłacalny sposób, aby pomóc w ograniczeniu przestojów z powodu wygasłych certyfikatów i kłopotów związanych z zarządzaniem krótszymi cyklami życia certyfikatów.

Ponieważ przeglądarki wymagają rocznych okresów ważności certyfikatów, plan wieloletni w połączeniu z narzędziami do automatyzacji pozwala zaoszczędzić czas i pieniądze. Dzięki temu nasi klienci mogą uzyskać dłuższe okresy ochrony zapewniane przez plan wieloletni, podczas gdy koszt zakupu spada w zależności od wyboru okresu subskrypcji.

Jak to działa?

W momencie zakupu certyfikatu SSL z okresem ważności od 2 lat w górę, otrzymasz pierwszy certyfikat ważny przez okres do jednego roku i uprawnienie do nieograniczonej liczby ponownych wydań certyfikatu w okresie zamówienia – do okresu na jaki certyfikat został zamówiony. Co roku rutynowo będziemy musieli weryfikować organizacje i domenę, dla której certyfikat został wystawiony przez cały okres obowiązywania planu wieloletniego.

Zaczniemy wysyłać powiadomienia o konieczności wymiany certyfikatu SSL na 30, 21, 14, 7, 3, 1 dni przed jego wygaśnięciem. Nowy certyfikat SSL zostanie wygenerowany i zastąpiony automatycznie przy użyciu tego samego CSR jak przy początkowym zamówieniu. Natomiast na 3 dni przed wygaśnięciem, jeśli użytkownik nie wymieni certyfikatu SSL samodzielnie, nowy zostanie przesłany na adres e-mail podany przy zamówieniu.

Przykład: Obecnie dostępne są cztery daty dla wszystkich wieloletnich certyfikatów SSL

• Rozpoczęcie subskrypcji
  tj. data wygenerowania pierwszego certyfikatu
• Zakończenie subskrypcji
  tj. data wygasania certyfikatu
• Ważny od
  tj. data od kiedy ważny jest wygenerowany certyfikat
• Ważny do
  tj. data do kiedy ważny jest wygenerowany certyfikat i oznacza to też datę przed którą należy wygenerować nowy certyfikat na kolejny okres 13 miesięcy.

Dlaczego warto wybrać certyfikat w opcji wieloletniej subskrypcji?

• Zminimalizowane ryzyko kompromitacji certyfikatów;
• Zminimalizowane ryzyko używania słabych kluczy (np. SHA1);
• Zapewnia coroczną weryfikacji tożsamości, aby zapobiec potencjalnym oszustwom;
• Łatwiejsze zarządzanie certyfikatami dzięki automatyzacji;
• Oszczędność pieniędzy dzięki zakupowi certyfikatu na dłuższy okres subskrypcji.