Navigering av Apples förslag att förkorta livslängden för TLS-certifikat

Det är inte längre ett förslag. CA / Browser Forum nyligen hölls en enhällig omröstning med 25 röster mot 0 där en policy godkändes för att minska den maximala giltighetsperioden för offentliga TLS-certifikat till endast 47 dagar, med början i mars 2029. Denna nya standard är inte ett förslag. Det är en godkänd policy.  

Som en säkerhetsingenjör med rätta uttryckte det: ”Förtroende på internet är inte längre något man bestämmer och glömmer.” 

Innan vi går in på de viktigaste detaljerna i denna policy, låt oss förstå syftet med att minska certifikatens livslängd.  

Varför är en kortare livslängd för certifikat att föredra? 

Kortlivade certifikat minskar möjligheterna för angripare att utnyttja en komprometterad nyckel. Om ett certifikat blir stulet idag kommer det att förstöras själv tidigare, vilket ger lite utrymme för missbruk. Om ett TLS-certifikat blir komprometterat idag upphör missbruket inom veckor, inte månader. Du behöver inte längre förlita dig på föråldrade återkallningssystem, som till exempel CRL, för att flagga det. 

Låt oss dela upp det i punkterna nedan: 

1. Fönster för reducerat risk

   Kortare giltighetstid för certifikat begränsar avsevärt den tidsram inom vilken ett komprometterat eller felaktigt utfärdat certifikat kan utnyttjas. Oavsett om det är en läckt privat nyckel eller ett falskt certifikat, begränsas skadan till ett mycket snävare tidsfönster, vilket minimerar den långsiktiga säkerhetspåverkan.

2. Säkerhet kräver flexibilitet

   När certifikatens livslängd är kortare blir det lättare att övergå till nya säkerhetsförbättringar, såsom uppgraderade kryptografiska algoritmer eller uppdaterade konfigurationer. Enkelt uttryckt kan man inte försvara framtiden med gårdagens kryptering.

3. Uppmuntrar automatisering

   Manuell certifikatförnyelse skalas inte upp när certifikat löper ut var 47:e eller 90:e dag. Kortare livslängder tvingar organisationer att anta automatiserade lösningar för certifikatlivscykelhantering (CLM), vilket minskar mänskliga fel och säkerställer snabba certifikatlivscykelåtgärder som utfärdande, förnyelse och återkallelse.

4. Framtidssäkrad säkerhet

   Med mer frekventa förnyelser kan organisationer reagera snabbt på förändrade standarder (som post-kvantkryptografi) eller nya efterlevnadskrav. Kortlivade certifikat skapar en naturlig uppdateringscykel som stöder kryptografisk flexibilitet.

Viktig aspekt av 47 dagars giltighet

Apples färdplan kastar inte branschen in i ett kortsiktigt kaos. Istället erbjuder den en stegvis, strategisk minskning av TLS-certifikatens giltighetstid, vilket ger organisationer tid att anpassa sig samtidigt som den uppmuntrar dem att anamma automatisering och moderna säkerhetsrutiner. 

Så här utvecklas tidslinjen: 

• Mars 2026 → Certifikatets livslängd begränsad till 200 dagar.
• Mars 2027 → Ytterligare reducerad till 100 dagar.
• Mars 2029 → Begränsat till endast 47 dagar.

Men förvandlingen slutar inte där. 

Domänkontrollvalidering (DCV) är den mekanism som används för att bevisa domänägande, och den skärps också. september 2027, kommer återanvändningsperioden för DCV att förkortas till 10 DAYSDet här innebär att istället för att validera en domän en gång och återanvända den valideringen i veckor, måste systemen bekräfta ägarskapet var tionde dag för nya certifikatutfärdanden. 

För de som använder organisationsvalidering (OV) eller Utökad validering (EV) certifikat, det finns ytterligare en viktig uppdatering. Återanvändning av data för validering av subjektidentitet, vilket avser återanvändning av tidigare verifierade organisationsuppgifter (såsom företagets juridiska namn, registreringsnummer, adress och andra identitetsattribut) vid utfärdande av OV- och EV-certifikat, begränsas också: 

• Certifikat utfärdade den 14 mars 2026 eller tidigare: återanvändning tillåten i 825 dagar
• Certifikat utfärdade den 15 mars 2026 eller senare: återanvändning tillåten i endast 398 dagar

Det här innebär att OV/EV-användare kommer att behöva göra om sin organisationsvalidering en gång var 398:e dag, vilket lägger till ett nytt lager av löpande efterlevnad. Det här innebär att OV/EV-användare kommer att behöva göra om sin organisationsvalidering en gång var 398:e dag, vilket lägger till ett nytt lager av löpande efterlevnad. 

Kort sagt, detta är mer än bara en förändring i siffror. Det är en fundamental omställning av hur digitalt förtroende utfärdas, valideras och upprätthålls på internet. 

Hur påverkar det din organisation? 

Denna utveckling ställer organisationer inför ett vägskäl. Å ena sidan lovar den bättre säkerhet. Å andra sidan kräver den hastighet, automatisering och nya arbetsflöden. 

Här är vad som förändras och varför det är viktigt. 

• Ökad förnyelsefrekvens

  TLS-certifikat kommer inte längre att vara giltiga i mer än ett år. År 2029 kommer de att löpa ut var 47:e dag. Detta minskar avsevärt tiden för angripare att utnyttja ett stulet eller missbrukat certifikat. Men det innebär också att din förnyelseprocess måste vara strikt och felsäker; det finns ingen marginal för förseningar.

• Förnyelse av OV/EV var 398:e dag

  På grund av godkända ändringar i återanvändning av valideringsdata måste organisationer som använder OV- eller EV-certifikat göra om organisationsvalideringen var 398:e dag med början den 15 mars 2026. Detta medför en administrativ omkostnad som måste spåras och automatiseras, annars riskerar man förseningar och utfärdandefel.

• Täta DCV-kontroller

  Domänkontrollvalidering (DCV), som verifierar domänägande, måste utföras var tionde dag. Detta säkerställer att certifikat endast utfärdas till de som verkligen kontrollerar domänen, vilket ger ett kritiskt säkerhetslager. Det manuella arbetet är dock utmattande, särskilt för organisationer som hanterar hundratals eller tusentals domäner.

• Manuella processer skalas inte

  Att förlita sig på kalkylblad, kalenderpåminnelser eller ett fåtal teammedlemmar för att spåra utgångsdatum och omvalideringar är inte hållbart. I denna högfrekventa miljö är manuell certifikathantering en belastning, inte en strategi.

• Risken för avbrott ökar

  Certifikat är inte bara för webbplatser; de säkrar API:er, mikrotjänster, VPN:er, mobilappar och mer. En missad förnyelse eller misslyckad DCV kan leda till att affärskritiska tjänster försvinner. För företag kan detta innebära förlorade intäkter, brustet förtroende och skadat rykte.

Digitalt förtroende är nu kopplat till flexibilitet. Dagarna då man bara kunde ställa in allt och glömma det är över. Organisationer måste utvecklas från statisk certifikathantering till automatiserade, dynamiska system som kan hålla jämna steg med moderna hot. 

Hur kan organisationer förbereda sig för övergången till kortare livslängder för TLS-certifikat?  

Övergången mot 47 dagar certifikatets livslängd är inte bara en policyuppdatering, utan det är ett fundamentalt skifte i hur digitalt förtroende hanteras. Och även om 2029 kan verka avlägset är det dags att agera nu. Organisationer som börjar anpassa sig idag kommer att undvika att behöva kämpa imorgon. 

Det handlar inte om att vara redo för 2029, utan om att bevisa att du kan göra detta idag, var 47:e dag, utan att misslyckas. 

Så här börjar du förbereda dig för 47-dagarsskiftet för certifikatgiltighet: 

Bygg ett centraliserat certifikatregister

Du kan inte automatisera eller säkra det du inte kan se. Många organisationer har dussintals, om inte hundratals, offentliga TLS-certifikat utspridda över webbplatser, API:er, VPN:er, lastbalanserare och interna tjänster. Ett utgånget certifikat på någon av dessa platser kan orsaka allvarliga avbrott, påverka kunder eller störa intern verksamhet.

Handlingsplan:

• Använd identifieringsverktyg (t.ex. Qualys SSL Labs, Censys, CLM-plattformar) för att hitta certifikat i ditt PKI miljö.
• Dokumentcertifikattyper (DV, OV, EV), utfärdande CA:er, utgångsdatum och ansvariga ägare.
• Skapa en centraliserad certifikatförteckning, en enda ruta som dina team kan hänvisa till.

Implementera automatisering av certifikatlivscykeln

I takt med att certifikatens livslängd krymper från 200 dagar till 100 till 47 dagar blir manuell förnyelse ohållbar. Team kommer att bli överbelastade av att försöka spåra, förnya, validera och driftsätta certifikat med några veckors mellanrum.

Handlingsplan:

• För DV-certifikat: Använd ACME-baserade protokoll (som Let's Encrypt eller EJBCA) för att automatiskt utfärda, förnya och distribuera.
• För SSL/TLS-certifikat: Investera i Certifikatlivscykelhantering (CLM) plattformar (t.ex. CertSecure från Encryption Consulting).
• Säkerställ att automatiseringen täcker alla certifikatåtgärder som generering av förfrågningar, skapande och signering av CSR, distribution av certifikat och förnyelse- eller återkallningscykler.
• Integrera CLM-verktyg med er DevOps- eller molninfrastruktur (t.ex. Ansible, Terraform, Jenkins).

Omarbeta DCV och valideringsarbetsflöden

Idag kan du återanvända DCV (Domain Control Validation) i mer än 30 dagar. I september 2027 sjunker det fönstret till 10 dagar, vilket innebär att certifikat som utfärdas därefter kommer att kräva frekvent ny domänvalidering.

Handlingsplan:

• Använd ACME-klienter för att automatisera DNS-baserad eller HTTP-baserad DCV (via TXT-poster eller webbservertokens).
• Förhandsvalidera domäner via din CA för att minska realtidskostnaderna.
• Planera DCV-rotation för jokertecken- och multi-SAN-certifikat.

Testa kortare förnyelsecykler nu

Att vänta tills 47-dagarspolicyn har tillämpats kan leda till att du blir förvirrad. Pilottester behöver simuleras för den framtida miljön nu, under kontrollerade förhållanden, och förfinas till dina arbetsflöden.

Handlingsplan:

• Ställ in förnyelseintervallen till 60 eller 90 dagar (krävs redan av vissa certifikatutfärdare).
• Kör dessa testarbetsflöden från början till slut, inklusive utfärdande, validering, distribution och aviseringshantering.
• Övervaka framgångsgraden för förnyelser, driftstopp på grund av misslyckade implementeringar och förseningar i mänskliga svar. Detta kommer att avslöja flaskhalsar, felkonfigurationer och täckningsbrister innan du har en 47-dagarsperiod.

Utbilda tvärfunktionella team

Certifikatlivscykelhantering berör mer än bara säkerhetsteam. Om DevOps inte är medvetna, IT-avdelningen inte är samordnad eller utvecklarna inte förstår automatiseringens gränser kan det leda till intern friktion och avbrott.

Handlingsplan:

• Genomför workshops med DevOps-, säkerhets-, IT-infrastruktur- och compliance-team.
• Uppdatera interna standardoperationer (SOP:er) och introduktionsmaterial för att inkludera nya utgångstider, valideringskrav för DCV och OV/EV samt protokoll för förnyelse i nödsituationer.
• Etablera certifikatägarskap eller serviceansvariga för att upprätthålla ansvarsskyldighet för viktiga certifikat.

Granska policyer, kontrakt och servicenivåavtal

Inte alla leverantörer, plattformar eller webbhotellsleverantörer är redo för certifikathantering med korta cykler. Vissa lastbalanserare, molnleverantörer eller SaaS-verktyg kan sakna API-integration eller automatiseringsstöd.

Vad ska man göra:

• Granska dina tredjepartsverktyg och molnplattformar: Kontrollera/granska deras automatisering av certifikatförnyelse och distribution.
• Uppdatera leverantörens SLA:er för att återspegla 47-dagars certifikatkrav.
• Förhandla om support för ACME-integrationer eller begär automatiseringsverktyg som en del av era säkerhetsförväntningar.

Övergången till 47-dagars TLS-certifikat och 398-dagars OV/EV-valideringar är inte bara en uppgradering; det är ett nytt sätt att arbeta. För att förbli säker och pålitlig i den här miljön måste din organisation anamma automatisering, bryta ner silos mellan team och förbereda sina system nu. 

Hur kan EC hjälpa till? 

CertSecure-hanterare är en verkligt leverantörsneutral lösning som automatiserar hela SSL/TLS-certifikatets livscykel från utfärdande och identifiering till distribution och certifikatåtgärder med ett klick som förnyelse, återkallelse och CA-migrering. Den kan enkelt hantera många SSL/TLS-certifikatMed CertSecure Managers centraliserade instrumentpanel får du realtidsinsyn i alla dina certifikat, vilket eliminerar manuella arbetsbelastningar och minimerar risken för oväntade utgångar.   

Förbered dig för framtidens CLM idag genom att uppleva vår CLM-lösning: CertSecure Manager. Begär en demo idag. 

Slutsats 

Att minska livslängden för TLS-certifikat till 47 dagar är inte längre ett teoretiskt koncept; det är ett godkänt, branschstödt mandat som kommer att omforma hur digitalt förtroende upprätthålls på internet. 

Det som började 2020 med Apples tillämpning av 398-dagarscertifikat har nu utvecklats till en bredare, oåterkallelig trend, en som betonar flexibilitet framför självbelåtenhet, automatisering framför manuell tillsyn och inbyggd säkerhet framför tradition. 

Senast i mars 2029, alla offentliga TLS certifikat kommer att löpa ut om mindre än två månader, och senast i mars 2026 kommer återanvändningen av OV/EV-validering att ha minskats till 398 dagar. Detta är inte bara tekniska förändringar, utan de är operativa krav. Organisationer som inte anpassar sig riskerar mer än bara besvär; de riskerar serviceavbrott, förlust av kundernas förtroende och potentiella efterlevnadsöverträdelser. 

I en värld där förtroendet återställs var 47:e dag är vinnarna de som förbereder sig varje dag.