Bezpieczeństwo połączeń internetowych opiera się na certyfikatach SSL/TLS — małych plikach kryptograficznych, które potwierdzają tożsamość serwera i szyfrują komunikację między przeglądarką a witryną. Przez lata certyfikaty te były wystawiane na okres do dwóch lat, potem do roku. Teraz branża robi kolejny, znacznie bardziej radykalny krok: do 2029 roku maksymalny czas ważności certyfikatu spadnie do zaledwie 47 dni. To zmiana, która dotknie każdego administratora, właściciela strony i dział IT — niezależnie od skali infrastruktury.
Zmiany te są efektem formalnego procesu legislacyjnego obowiązującego w branży certyfikatów. CA/Browser Forum — organ zrzeszający wystawców certyfikatów oraz producentów przeglądarek — ustanawia branżowe standardy przez tzw. balloty: formalne propozycje zmian składane przez członków Forum, które po etapie dyskusji poddawane są głosowaniu. Dopiero przyjęty ballot staje się obowiązującym wymogiem dla wszystkich wystawców publicznych certyfikatów TLS. W kwietniu 2025 roku takim właśnie głosowaniem zakończył się ballot SC-081v3 — propozycja złożona przez Apple przy wsparciu Sectigo. Wynik był jednoznaczny: 29 głosów za, zero przeciw, a wszystkie cztery główne przeglądarki — Google Chrome, Apple Safari, Mozilla Firefox i Microsoft Edge — opowiedziały się za jej przyjęciem. Zmiany wchodzą w życie etapami, a pierwszy termin — 15 marca 2026 roku — jest już bliski.
Dlaczego ważność certyfikatów ulega skróceniu?
Inicjatywa skrócenia czasu ważności certyfikatów nie pojawiła się nagle. Przez ostatnią dekadę branża konsekwentnie zmierzała w tym kierunku — od 5 lat, przez 2 lata, 398 dni, aż po obecny plan zejścia do 47 dni. Każdy kolejny krok był motywowany tymi samymi, dobrze udokumentowanymi problemami bezpieczeństwa.
Najważniejszy z nich to okno podatności. Certyfikat ważny przez 398 dni, którego klucz prywatny zostanie skompromitowany, może być wykorzystywany przez atakujących przez ponad rok. Nawet jeśli urząd certyfikacji unieważni taki certyfikat SSL/TLS, mechanizmy odwołania (CRL, OCSP) są w praktyce zawodne — przeglądarki rzadko blokują unieważnione certyfikaty w czasie rzeczywistym. Krótszy czas ważności sprawia, że problem sam się rozwiązuje: certyfikat wygasa, zanim zdąży wyrządzić poważną szkodę.
Drugi powód to aktualność danych. Certyfikat wystawiony niemal rok temu może zawierać informacje, które zdążyły się zdezaktualizować — zmieniona nazwa firmy, zrestrukturyzowana domena, wycofany algorytm. Krótsze cykle wymuszają regularną weryfikację i gwarantują, że certyfikat odzwierciedla bieżący stan rzeczy.
Trzeci, coraz ważniejszy argument dotyczy kryptografii postkwantowej. Komputery kwantowe, zdolne do złamania dzisiejszych algorytmów asymetrycznych takich jak RSA czy ECDSA, nie są już abstrakcją. NIST opublikował pierwsze standardy algorytmów odpornych na ataki kwantowe — ML-KEM (dawniej Kyber) do wymiany kluczy oraz ML-DSA (dawniej Dilithium) do podpisów cyfrowych. Gdy te algorytmy będą wdrażane masowo w infrastrukturze PKI, krótsze cykle ważności certyfikatów pozwolą przeprowadzić migrację w tygodnie, a nie lata. Google Chrome już testuje hybrydowy mechanizm X25519Kyber768, łączący klasyczną kryptografię krzywych eliptycznych z postkwantowym Kyberem — to sygnał, że era algorytmów postkwantowych w certyfikatach zaczyna się już teraz.
Ta „zwinność kryptograficzna” (crypto agility) — zdolność do szybkiej wymiany algorytmów bez przestojów — jest jednym z kluczowych celów całej reformy. Organizacje, które zbudują sprawną automatyzację zarządzania certyfikatami, będą w znacznie lepszej pozycji, gdy przyjdzie czas na masową migrację.
Harmonogram zmian
Zmiany wchodzą w życie stopniowo. Każdy kolejny etap jest bardziej wymagający niż poprzedni i wymaga coraz sprawniejszej automatyzacji.
| Data | Maks. ważność certyfikatu | Okres ponownego użycia DCV | Okres ponownego użycia danych OV/EV (SII) |
|---|---|---|---|
| Do 14 marca 2026 | 398 dni | 398 dni | 825 dni |
| Od 15 marca 2026 | 200 dni | 200 dni | 398 dni |
| Od 15 marca 2027 | 100 dni | 100 dni | 398 dni |
| Od 15 marca 2029 | 47 dni | 10 dni | 398 dni |
Warto pamiętać o jednej ważnej zasadzie: zmiany dotyczą wyłącznie nowo wystawianych certyfikatów. Certyfikat wystawiony przed 15 marca 2026 roku z ważnością 398 dni pozostanie ważny do swojego naturalnego wygaśnięcia. Nie ma nagłego „zerowego dnia” — przejście jest płynne.
Wiele urzędów certyfikacji wprowadza limity z wyprzedzeniem. DigiCert od 24 lutego 2026 roku ogranicza maksymalną ważność do 199 dni — o jeden dzień poniżej wymaganego progu, by wyeliminować ryzyko błędów wynikających z przesunięć czasowych.
Typy certyfikatów a skala zmian
Nie wszystkie certyfikaty odczują zmiany w równym stopniu. Warto zrozumieć różnice między poszczególnymi typami, bo to one determinują skalę nadchodzącego wyzwania.
Certyfikaty DV (Domain Validation) weryfikują wyłącznie kontrolę nad domeną. Są najszybsze do wystawienia i w pełni podatne na automatyzację przez protokół ACME. Dla użytkowników Let’s Encrypt zmiany będą niemal niezauważalne — ta organizacja od początku wystawia certyfikaty na 90 dni i w pełni automatyzuje ich odnowienie.
Certyfikaty OV (Organization Validation) potwierdzają dodatkowo tożsamość organizacji — jej nazwę, kraj rejestracji, numer w rejestrze handlowym. Skrócenie okresu ponownego użycia danych firmowych do 398 dni oznacza, że firmy będą musiały regularnie przechodzić przez weryfikację tożsamości. Ten etap trudno w pełni zautomatyzować — urząd certyfikacji musi potwierdzić dane niezależnie od dokumentów przedłożonych przez wnioskodawcę.
Certyfikaty EV (Extended Validation) to najwyższy poziom weryfikacji, wymagający szczegółowego sprawdzenia podmiotowości prawnej firmy. Nadal są stosowane wszędzie tam, gdzie liczy się najwyższy poziom zaufania — w bankowości, instytucjach publicznych, dużych platformach e-commerce.
Certyfikaty VMC (Verified Mark Certificates), pozwalające wyświetlać logo firmy w nagłówku wiadomości e-mail (standard BIMI), podlegają tym samym regułom co certyfikaty EV. Ich właściciele również muszą liczyć się z koniecznością częstszej rewalidacji danych organizacyjnych.
Co zmiana oznacza dla zwykłego użytkownika internetu
Z perspektywy osoby przeglądającej strony internetowe zmiany w czasie ważności certyfikatów są w zasadzie niewidoczne — i o to właśnie chodzi. Przeciętny internauta nie wie, kiedy certyfikat danej witryny wygasa, ani ile razy w roku jest odnawiany. Widzi jedynie kłódkę w pasku adresu przeglądarki i oczekuje, że połączenie jest bezpieczne. Reforma ma sprawić, by to oczekiwanie było uzasadnione w sposób bardziej niezawodny niż dotychczas.
W praktyce oznacza to, że odwiedzając sklep internetowy, bank czy dowolny serwis obsługiwany przez HTTPS, użytkownik może mieć większą pewność, że certyfikat witryny jest aktualny i oparty na świeżo zweryfikowanych danych. Przy 47-dniowym cyklu odnowień certyfikat niemal nigdy nie będzie zawierać przestarzałych informacji — a jeśli klucz prywatny serwera zostanie skompromitowany, zagrożenie wygaśnie samo, zanim większość użytkowników zdąży je odczuć.
Jedyne sytuacje, w których zmiany mogą stać się dla użytkownika odczuwalne, to zaniedbania po stronie właściciela witryny. Jeśli administrator nie wdroży automatycznego odnawiania certyfikatów i przegapi termin, przeglądarka wyświetli ostrzeżenie o wygasłym certyfikacie lub zablokuje dostęp do strony. Przy obecnych, rocznych cyklach takie sytuacje zdarzają się stosunkowo rzadko. Przy 47-dniowych certyfikatach — bez automatyzacji — będą nagminne. To właśnie dlatego reforma wymusza na właścicielach stron i administratorach przejście na nowoczesne narzędzia zarządzania certyfikatami, co finalnie przekłada się na lepsze doświadczenie i większe bezpieczeństwo dla każdego, kto korzysta z sieci.
Co zmiana oznacza dla właściciela domeny i serwisu internetowego
Dla właściciela strony opartej na popularnym hostingu współdzielonym lub platformach takich jak WordPress.com, Wix czy Squarespace zmiany będą w praktyce niezauważalne. Dostawcy tych usług zarządzają certyfikatami w imieniu klientów i sami dostosują się do nowych wymogów. Jeśli certyfikat jest odnawiany automatycznie dziś — będzie odnawiany automatycznie jutro, tyle że częściej. Nie wymaga to żadnych działań ze strony właściciela witryny.
Inaczej sytuacja wygląda w przypadku osób zarządzających własnym serwerem lub hostingiem VPS, gdzie certyfikat jest konfigurowany ręcznie. Jeśli odnowienie odbywa się przez panel hostingowy z klikaniem „odnów certyfikat” raz do roku — ten schemat przestanie działać. Przy 200-dniowych certyfikatach od 2026 roku konieczne będzie powtarzanie tej czynności co pół roku, przy 100-dniowych — co trzy miesiące, a docelowo przy 47-dniowych — praktycznie co miesiąc. To realna zmiana nawyków i obowiązków, której nie da się zignorować.
Warto też uwzględnić kontekst regulacyjny. Dyrektywa NIS2, obowiązująca w UE od października 2024 roku, wymaga od firm stosowania aktualnych środków bezpieczeństwa i odpowiedniego zarządzania ryzykiem w infrastrukturze cyfrowej. RODO nakłada z kolei obowiązek ochrony danych osobowych, której integralną częścią jest prawidłowe szyfrowanie komunikacji. Przeterminowany certyfikat lub certyfikat oparty na wycofanym algorytmie może być uznany za naruszenie tych wymogów.
Przedsiębiorstwa z rozbudowaną infrastrukturą — wieloma domenami, serwerami, load balancerami czy urządzeniami sieciowymi — przez lata mogły sobie pozwolić na coroczne „przeglądy certyfikatów”. Ten komfort definitywnie mija. Podwojenie częstotliwości odnowień w 2026 roku, a następnie ich dalsze skrócenie w 2027 i 2029, sprawi, że zarządzanie bez dedykowanego systemu CLM (Certificate Lifecycle Management) stanie się poważnym obciążeniem operacyjnym — a docelowo niemożliwym. Użytkownicy popularnych rozwiązań chmurowych mają tu przewagę: AWS Certificate Manager, Azure Key Vault czy Cloudflare od lat zarządzają certyfikatami w pełni automatycznie i dostosują się do nowych limitów bez udziału administratora.
Automatyzacja — od opcji do konieczności
Protokół ACME (Automated Certificate Management Environment), który stoi za sukcesem Let’s Encrypt, jest dziś standardem wspieranym przez większość liczących się urzędów certyfikacji i dostawców hostingu. Jego wdrożenie w środowiskach serwerowych jest stosunkowo proste — Certbot dla Apache i Nginx na systemach Linux, acme.sh jako lekka alternatywa obsługująca dziesiątki urzędów certyfikacji, win-acme dla środowisk Windows i IIS. Wszystkie te narzędzia działają w oparciu o ten sam mechanizm: automatycznie weryfikują kontrolę nad domeną i odnawiają certyfikat zanim ten wygaśnie.
Dla bardziej złożonych środowisk — chmurowych, wieloplatformowych, obejmujących urządzenia sieciowe czy starsze systemy — odpowiedzią są platformy CLM. Sectigo Certificate Manager, DigiCert CertCentral czy rozwiązania Venafi oferują centralny widok wszystkich certyfikatów w organizacji, automatyczne alerty przed wygaśnięciem i integrację z narzędziami zarządzania infrastrukturą takimi jak Ansible, Terraform czy Kubernetes. Dla organizacji działających w środowiskach hybrydowych to infrastruktura krytyczna, nie luksus.
Koszty certyfikatów nie powinny rosnąć. Większość urzędów certyfikacji jasno komunikuje, że model rozliczeniowy pozostanie subskrypcyjny — opłata jest naliczana za rok korzystania z usługi, niezależnie od liczby odnowień w tym czasie.
Jak przygotować się do zmian
Pierwszym krokiem jest audyt. Wiele organizacji nie wie dokładnie, ile certyfikatów posiada, gdzie są wdrożone, kiedy wygasają i kto za nie odpowiada. Certyfikaty potrafią być „ukryte” w load balancerach, bramkach API, urządzeniach IoT czy wewnętrznych narzędziach deweloperskich. Bez pełnego obrazu sytuacji nie da się zaplanować automatyzacji.
Kolejna kwestia to ocena infrastruktury pod kątem wsparcia dla protokołu ACME. Nie każdy hosting czy serwer obsługuje go natywnie. Jeśli serwer DNS jest zarządzany przez zewnętrznego dostawcę z ręcznymi procesami zatwierdzania zmian, może to być wąskie gardło przy częstym odnawianiu certyfikatów — a każde takie wąskie gardło będzie się pogłębiać wraz z kolejnymi skróceniami terminów.
Dla środowisk korporacyjnych warto rozważyć wdrożenie platformy CLM już teraz. Migracja dużej organizacji na nowe narzędzia i procedury trwa miesiącami. Harmonogram zmian — 2026, 2027, 2029 — daje czas na spokojne przygotowania, ale tylko pod warunkiem rozpoczęcia ich wystarczająco wcześnie.
FAQ
Czy mój obecny certyfikat straci ważność w marcu 2026?
Nie. Certyfikaty wystawione przed 15 marca 2026 roku pozostają ważne do swojego naturalnego wygaśnięcia, nawet jeśli ten termin przypada po tej dacie. Nowe zasady dotyczą wyłącznie certyfikatów wystawianych po wprowadzeniu zmian.
Czy certyfikaty Let’s Encrypt się zmienią?
Let’s Encrypt od początku wystawia certyfikaty na 90 dni i automatyzuje ich odnowienie przez protokół ACME. Dla użytkowników tego urzędu zmiany będą nieodczuwalne — system już działa zgodnie z duchem nowych regulacji, a docelowy limit 47 dni jest zbliżony do obecnej praktyki Let’s Encrypt.
Co to jest DCV i dlaczego skrócenie jego okresu jest ważne?
DCV (Domain Control Validation) to proces, w którym urząd certyfikacji weryfikuje, że wnioskodawca faktycznie kontroluje daną domenę. Dziś wyniki tej weryfikacji można ponownie wykorzystać przez 398 dni. Od marca 2026 ten okres skraca się do 200 dni, a docelowo w 2029 roku — do zaledwie 10 dni. Przy 47-dniowych certyfikatach i 10-dniowym DCV reuse każde odnowienie będzie wymagać świeżej weryfikacji domeny, co czyni automatyzację absolutnie niezbędną.
Czy zmiany dotyczą certyfikatów używanych wewnątrz firmy?
Nie. Zasady CA/B Forum obejmują wyłącznie certyfikaty publiczne wystawiane przez publicznie zaufane urzędy certyfikacji. Certyfikaty wewnętrzne, wystawiane przez firmowe PKI dla wewnętrznych systemów i aplikacji, mogą nadal mieć dowolny czas ważności ustalony przez organizację.