Термін дії SSL сертифікатів

Форум CA/Browser офіційно проголосував за внесення змін до Базових вимог TLS, щоб встановити графік скорочення як терміну дії сертифікатів TLS, так і можливості повторного використання інформації, перевіреної CA, у сертифікатах. Перший вплив голосування на користувачів відбудеться у березні 2026 року. Голосування довго обговорювалося на Форумі CA/Browser і пройшло кілька версій, враховуючи відгуки від центрів сертифікації та їхніх клієнтів. Період голосування завершився 11 квітня 2025 року, закривши один гаряче спірний розділ і дозволивши світу сертифікатів планувати те, що буде далі.

Новий графік терміну дії сертифіката TLS - Нове голосування передбачає термін дії сертифіката 47 днів, що робить автоматизацію необхідною. До цієї пропозиції Apple Google просував максимальний термін дії 90 днів, але вони проголосували за пропозицію Apple майже одразу після початку періоду голосування.

Ось графік:

Подробнее...

Microsoft і CodeSIgning сертифікати, що відомо

Нещодавно Microsoft Defender неправильно позначив певні кореневі сертифікати DigiCert як шкідливі («Trojan:Win32/Cerdigent.A!dha»). Це сталося в результаті оновлення системи безпеки Microsoft, яке призвело до хибнопозитивних результатів.

Компанія Microsoft підтвердила, що це була помилка в їхній логіці виявлення, а не компрометація сертифікатів DigiCert. Оновлений підпис Defender вже випущено для вирішення цієї проблеми.

Наразі:

Сертифікати DigiCert залишаються безпечними та надійними.

Жодних дій, окрім забезпечення повного оновлення Microsoft Defender, не потрібно.

Будь-які сертифікати, неправильно видалені Defender, мають бути автоматично відновлені після оновлення.

В окремому випадку в квітні 2026 року обмежена кількість сертифікатів підпису коду була видана неправильно та швидко відкликана. Немає жодних доказів ширшого впливу на сертифікати клієнтів, облікові записи, дані чи системи DigiCert. З усіма клієнтами, на яких це вплинуло, було безпосередньо зв’язано в рамках завершеного процесу відкликання. Якщо з вами не зв’язалися, ваша організація не постраждала, і жодних подальших дій не потрібно.

DigiCert додає нові виділені адреси IPv4 та призначає нові виділені адреси IPv6

10 березня 2026 року о 10:00 MDT (16:00 UTC) DigiCert додасть нові адреси IPv4 та призначить виділені адреси IPv6 до  протоколу стану онлайн-сертифікатів (OCSP), списку відкликаних сертифікатів (CRL) та кількох інших сервісів DigiCert.

Якщо ваша компанія використовує списки дозволених адрес для контролю вихідного трафіку, оновіть свій список дозволених адрес вихідного трафіку на ваших брандмауерах, групах безпеки або проксі-серверах, щоб включити нові адреси IPv4 та IPv6, наведені нижче, до 10 березня 2026 року. Ви повинні зробити це, щоб ваші сервіси DigiCert працювали так, як вони працювали до додавання нових адрес IPv4 та IPv6.

Видалення EKU clientAuth з сертифікатів відкладено до 1 березня 2027р

Гарні новини для тих, кому потрібні сертифікати, що підтримують автентифікацію клієнтів: DigiCert продовжує дату припинення підтримки розширеного використання ключа (EKU) для автентифікації клієнтів (clientAuth) у наших публічних сертифікатах SSL/TLS.

Видалення EKU clientAuth з сертифікатів відкладено до 1 березня 2027 року (раніше це було 1 травня 2026 року).

Це оновлення відповідає нещодавно оновленій кореневій політиці Google Chrome, яка передбачила цю зміну для покращення безпеки та відповідності.

Якщо ви покладаєтеся на автентифікацію клієнтів, у вас є 12 місяців на перехід, перш ніж цю можливість буде видалено з публічного TLS.

Нижче наведено два рішення DigiCert, які можуть задовольнити потреби ваших клієнтів в автентифікації після 1 березня 2027 року.

Примітка: Ця зміна впливає на всі публічні сертифікати TLS DigiCert: DV, OV, EV, EU Qualified Website Authentication Certificate (QWAC) та EU QWAC PSD2, а також на всі бренди DigiCert: DigiCert ®, GeoTrust ®, Thawte ®, RapidSSL ® та Encryption Everywhere ®.

Рішення для автентифікації клієнтів після 1 березня 2027 року

DigiCert пропонує два основні рішення для наших клієнтів та партнерів, яким потрібен EKU для автентифікації клієнтів після 1 березня 2027 року:

• PKI X9 від DigiCert для сертифікатів TLS – захищає зв’язок, що включає кілька організацій (mTLS, VPN-доступ тощо).
• Приватна PKI як послуга – захищає бізнес-операції, які є суто внутрішніми.

SSL-сертифікати Trustwave мають бути замінені до 27 лютого 2026 року

Компанія Trustwave (що працює під брендом VikingCloud) оголосила про припинення випуску публічних SSL/TLS сертифікатів.

• Дедлайн: Усі чинні сертифікати Trustwave відкликаються сьогодні, 27 лютого 2026 року.

• Наслідки: Будь-який вебсайт або сервіс, що все ще використовує сертифікат від Trustwave після сьогоднішнього дня, буде видавати помилку «Підключення не захищене» або «Сертифікат не є довіреним» у браузерах користувачів.

Удосконалення перевірки домену з різних джерел

Починаючи з 24 лютого 2026 року, DigiCert оновить MPIC (Multi-Perspective Issuance Corroboration), щоб забезпечити підтвердження з використанням щонайменше трьох віддалених мережевих розташувань з щонайменше двох різних регіонів регіонального реєстру Інтернету, відповідно до наступного етапу вимог MPIC CA/Browser Forum.

Підтвердження означає, що кілька мережевих точок зору повинні повертати однакові дані запису DNS або вміст файлу веб-сайту для певного домену, перш ніж домен можна буде вважати перевіреним і перш ніж можна буде видавати сертифікат. Вимоги MPIC застосовуються як до перевірки перевірки контролю домену (DCV), так і до перевірок авторизації центру сертифікації (CAA).

У березні 2025 року DigiCert почав перевіряти дані про керування доменами та записи CAA з кількох мережевих розташувань відповідно до вимог CA Browser Forum, перед майбутніми етапами багатоперспективного підтвердження видачі (MPIC).

У вересні 2025 року DigiCert удосконалив свій процес перевірки та видачі сертифікатів, впровадивши наступний етап MPIC та забезпечивши підтвердження з використанням щонайменше двох віддалених мережевих розташувань.

24 лютого 2026 року DigiCert додасть ще один агент користувача та дві нові IP-адреси до IP-адрес агентів MPIC.

Перевірка DNSSEC для верифікації домену

24 лютого 2026 року DigiCert почне перевіряти розширення безпеки системи доменних імен (DNSSEC), якщо вони є, під час перевірки контролю домену та перевірок авторизації центру сертифікації DNS (CAA). Ця зміна впливає на всі продукти, які потребують перевірки домену та/або перевірок CAA перед видачею сертифіката.

! Якщо у вас не включена функция DNSSEC для ваших доменов - тоді вимога щодо перевірки DNSSEC на вас не поширюватиметься. Однак, для впевненості, ми рекомендуємо перевірити чи не ввімкнено DNSSEC для ваших доменів у вашій організації.

Використання DNSSEC НЕ ОБОВ'ЯЗКОВЕ. Вам не потрібно налаштовувати DNSSEC для видачі DigiCert одного з перелічених вище сертифікатів. Ця інформація стосується лише тих, хто використовує або планує використовувати DNSSEC.

Що таке DNSSEC? DNSSEC (Domain Name System Security Extensions) — це набір специфікацій для захисту інформації в системі доменних імен (DNS). Якщо просто: це "цифровий підпис" для інтернет-адрес, який гарантує, що ви потрапили саме на той сайт, який запитували, а не на підробку.

DNSSEC: Перевірка та захист вашого DNS

Одним із найкращих методів захисту вашого домену на рівні DNS є використання розширень безпеки DNS (DNSSEC). Коротко кажучи, DNSSEC – це протокол, призначений для захисту веб-сайтів від атак шляхом забезпечення безпеки DNS-запитів. Це робиться за допомогою ієрархічної політики цифрового підпису або ланцюжка довіри на всіх рівнях DNS. Якщо DNSSEC увімкнено, кожен рівень процесу пошуку має бути перевірений та підписаний, перш ніж запит можна буде вирішити.

DNSSEC особливо корисний для запобігання поширеним атакам, пов’язаним із DNS, таким як захоплення DNS, отруєння та тунелювання, оскільки він вимагає перевірки для кожної частини процесу пошуку.

Важливе оновлення: Термін дії сертифікатів скорочується

Від 24 лютого 2026 року, сертифікати TLS/SSL, видані через DigiCert матимуть максимальний термін дії 199 днів (замість нинішніх 397 днів). Це стосується також кваліфікованих сертифікатів автентифікації вебсайтів ЄС (QWAC) та сертифікатів QWAC PSD2.

Cертифікати підпису коду  DigiCert Code Signing , матимуть максимальний термін дії 459 днів (раніше це було 39 місяців)

Перехід на коротші терміни дії є загальногалузевою вимогою, встановленою новими базовими стандартами CA/Browser Forum. Хоча це може вимагати певних коригувань у вашій роботі, такі заходи знижують ризики та допомагають підтримувати стійкість вашої інфраструктури.

До 24 лютого 2026 року ви можете продовжувати замовляти сертифікати TLS/SSL із терміном дії понад 199 днів, Code Signing понад 459 днів.

Будь-які сертифікати, видані 24 лютого або пізніше (включаючи запити, створені до цієї дати, але ще не оброблені), будуть обмежені терміном у 199 днів (459 днів для Code Signing), навіть якщо в замовленні вказано довший період.

Якщо вам потрібні сертифікати з довшим терміном дії, рекомендуємо оформити замовлення заздалегідь до 24 лютого 2026 року та переконатися, що валідація домену та організації актуальна.

Існуючі сертифікати не підпадають під дію нових правил. Сертифікати, видані до 24 лютого, залишатимуться дійсними до початкової дати закінчення терміну дії.

Однак, якщо існуючий сертифікат буде перевипущений 24 лютого або пізніше, його термін дії буде обмежений 199 днями (459 днів для Code Signing) .

Вплив на валідацію організації та домену:

З 24 лютого термін повторного використання даних для валідації організації (OV) скоротиться з 825 до 397 днів. 
З 24 лютого термін повторного використання даних для валідації домену скоротиться з 397 до 199 днів.

Client Authentication в SSL сертифікатах

Починаючи з 1 жовтня 2025 року, щойно видані сертифікати SSL/TLS більше не містять функцію автентифікації клієнта( Client Authentication).
Якщо ви використовуєте свої сертифікати SSL/TLS лише для безпеки веб-сайту (HTTPS), вам не потрібно вживати жодних дій. Якщо ви використовуєте сертифікати для взаємної автентифікації, яку також називають mTLS або автентифікацією між серверами, це може вплинути на вас.
Ми рекомендуємо перевірити ваші поточні налаштування.
Якщо ви використовуєте сертифікати для взаємної автентифікації, вам потрібно буде перейти на інший тип, зазвичай виданий приватним центром сертифікації (Private CA).
ВАЖЛИВІ ДАТИ
1 жовтня 2025 року – Автентифікацію клієнта видалено з нових, поновлених або перевиданих сертифікатів SSL/TLS.
15 травня 2026 року – Автентифікація клієнта більше не підтримуватиметься в жодних щойно виданих сертифікатах SSL/TLS.

Digicert пропонує 2 варіанти рішення

X9 PKI для сертифікатів TLS

Перехід на X9 PKI DigiCert для сертифікатів TLS для захисту зв'язку, що включає кілька організацій. Регульований органом стандартизації ASC X9, X9 PKI керується незалежною політикою сертифікатів, незалежною від браузерів, але яка забезпечує сумісність завдяки використанню спільного кореня довіри. X9 PKI для сертифікатів TLS може мати EKU автентифікації як клієнта, так і сервера, що задовольняє сучасні унікальні потреби в контролі, безпеці, гнучкості та масштабованості з можливостями шифрування, ідентифікації та перехресної сертифікації.

Private trust Приватна довіра

Перехід на PKI як послугу для бізнес-потреб, які є суто внутрішніми. DigiCert може налаштувати та керувати приватною PKI для вашої організації, використовуючи наш операційний досвід та інвестиції в безпеку.

Зміна стандартів електронної пошти

Стандарти сертифікатів електронної пошти оновлено для підтримки автоматизації ACME та майбутньої безпеки PQC Зміни до базових вимог до сертифіката S/MIME додають підтримку автоматичної перевірки поштових скриньок (через протокол ACME) та тестування алгоритмів постквантової криптографії SMC012: Впровадження ACME для S/MIME було офіційно прийнято як частину Базових вимог S/MIME 2 липня. Цей бюлетень надає центрам сертифікації (CA) стандартизований та автоматизований спосіб реагування на запити на перевірку керування поштовою скринькою за допомогою протоколу ACME. Це пропонує ще один зручний для автоматизації метод для CA для перевірки адрес поштових скриньок. SMC013: Увімкнення алгоритмів PQC для S/MIME вступило в 30-денний період розгляду, який мав завершитися 20 серпня. Цей бюлетень має на меті додати використання двох алгоритмів постквантової криптографії (PQC) до Базових вимог S/MIME. Ці сертифікати призначені для тестування (CA та клієнтами) і не будуть загальнодоступними. Однак цей крок знаменує собою ще один крок на шляху, який зрештою призводить до впровадження та використання PQC у публічних мережах.