С 15 марта 2026 года максимальный срок действия публичных TLS-сертификатов снижается с 398 до 200 дней . К марту 2029 года он дойдёт до 47 дней . Решение принято CA/Browser Forum в апреле 2025 года и касается всех сайтов с HTTPS.
График перехода
| Дата | Срок действия | DCV reuse* |
|---|---|---|
| сейчас | 398 дней | 398 дней |
| 15 марта 2026 | 200 дней | 200 дней |
| 15 марта 2027 | 100 дней | 100 дней |
| 15 марта 2029 | 47 дней | 10 дней |
Зачем
Сократить окно, в течение которого скомпрометированный сертификат остаётся валидным. CRL и OCSP работают плохо — браузеры часто игнорируют статус. Короткий срок жизни обесценивает украденный приватный ключ.
Параллельно индустрия готовится к пост-квантовой криптографии : команды, которые привыкнут обновлять сертификаты восемь раз в год, проведут будущую смену алгоритмов без боли.
Кого затронет
- Все публичные TLS-сертификаты — DV, OV, EV.
- Покупателей многолетних сертификатов: срок оплаты остаётся, но переиздавать придётся чаще.
- Команды без автоматизации: на 1000 сертификатов — 8000+ обновлений в год к 2029.
- OV/EV: проверка организации действует не 825 дней, а 398.
Внутренние корпоративные PKI и самоподписанные сертификаты под правила CA/B Forum не попадают.
Что учесть
Сертификаты придётся продлевать чаще. Если процесс ручной — стоит заранее запланировать продление с запасом и настроить напоминания об истечении. На большом парке доменов имеет смысл присмотреться к автоматическому выпуску через ACME.
Чем поможем
Если нужна помощь с обновлением сертификатов или настройкой автоматического выпуска — напишите нам .
← Ко всем новостям