Maximální doba platnosti (životnost) a SSL certifikáty / TLS v posledních letech se hodně měnila a pokaždé, když byly provedeny změny, doba platnosti certifikátů TLS / SSL se zkracovala a zkracovala.

Před rokem 2011 maximální životnost certifikátů TLS byla mezi 8 a 10 lety, po roce 2011,Fórum CA/prohlížeče (Certification Authority Browser Forum) ke zkrácení na 5 let.

Později, v roce 2015, byla maximální doba platnosti TLS snížena na 3 roky, aby v roce 2018 dosáhla maximálně 2 let.

Období platnosti TLS / SSL certifikované v roce 2023

Ve volbách v září 2019 byl návrh na omezení na 1 rok zamítnut, a to i přes vehementní podporu společností Google, Apple, Microsoft, Mozilla a Opera. V únoru 2020 však Apple oznámil, že od 1. září 2020 odmítne nové certifikáty TLS s dobou delší než 398 dní. Rozhodnutí Applu bylo rychle přijato společnostmi Google, Mozilla a Microsoft.

Certifikáty vydané přede dnem nabytí účinnosti tohoto rozhodnutí a certifikáty “vykořenit” typu “CA” tato změna se jich nedotkne ani v případě, že doba jejich platnosti přesáhne 398 dní. V době jejich obnovení musí maximální doba odpovídat novým požadavkům.

“Připojení k serverům TLS, která porušují tyto nové požadavky, selžou“Apple uvedl v podpůrném dokumentu. Jinými slovy, nevyhovující certifikát TLS zabrání provozu aplikací, poštovních serverů nebo webových stránek na systémech a aplikacích vyvinutých společností Apple.
Google obratem oznámil, že vás označí kódem chyby “ERR_CERT_VALIDITY_TOO_LONG“, certifikáty, které nebudou spadat do nového limitu platnosti a bude s nimi nakládáno jako s nesprávně vydanými.

• Jak nainstalovat SSL Certified ručně pro web bez CPanel / VestACP [ningx]
• nginx nemůže načíst certifikát fullchain.pem – Certbot oprava
• Rozdíly mezi TLSV1.2 a TLSV1.3 – Rychlost a bezpečnost

poskytovatelé služeb SSL začali od léta 2022 stahovat balíčky s dobou platnosti 2 roky, aby se vyhnuli nepříjemným překvapením. Nový certifikát s maximální dobou trvání 397 dní, jak doporučuje Apple.

Rozhodnutí omezit dobu života pro a certifikát SSL / TLS, byl převzat z bezpečnostních důvodů online. Čím kratší je doba platnosti certifikátu, tím menší je riziko, že bude fungovat delší dobu i po jeho kompromitaci.
V současné době existují webové adresy (webové stránky), které, přestože mají platné certifikáty SSL / TLS, jsou pro návštěvníky nebezpečné. Obsahují malware, adware nebo phishingové programy. Zůstávají označeny jako “trezor” až do okamžiku, kdy budou muset obnovit SSL.
Ještě horší je to pro uživatele chytrých telefonů, kteří k procházení webových stránek používají Firefox nebo Chrome. Chrome a Firefox pro mobily z důvodu výkonu nekontrolují certifikáty SSL v reálném čase. Uživatelé tak mohou přistupovat na webové stránky, jejichž certifikáty byly odvolány, aniž by byli varováni.