47-day TLS certificates: почему к этому нужно готовиться уже сейчас
Срок жизни публичных TLS-сертификатов будет сокращаться, и ручные процессы станут слабым местом.
История с TLS-сертификатами постепенно движется к более коротким срокам жизни. По требованиям CA/B Forum максимальный срок будет снижаться поэтапно, а к 2029 году должен прийти к 47 дням.
Для пользователя это почти незаметно. Для админа это означает одно: ручное управление сертификатами окончательно перестает быть нормой.
Что меняется по смыслу
Пока сертификат живет год, многие проблемы можно не замечать. Кто-то раз в несколько месяцев вспоминает про certbot, кто-то вручную проверяет expiry, кто-то вообще узнает о проблеме от браузера.
Когда срок становится короче, такая модель ломается. Ошибка автообновления быстрее превращается в простой, а отсутствие мониторинга становится не неудобством, а риском.
Что стоит сделать заранее
Минимальный план:
- проверить, что ACME-обновление не требует ручного действия;
- убедиться, что DNS и HTTP challenge стабильно проходят;
- включить мониторинг даты истечения;
- хранить конфиги nginx в backup;
- документировать, где лежат сертификаты и какой сервис их использует.
Важно смотреть не только на публичный сайт. Внутренние панели, dev-поддомены, старые API и забытые сервисы часто выпадают из внимания.
Вывод
47-day certificates — это не повод паниковать. Это повод убрать ручные ритуалы из SSL. Кто уже сегодня имеет автоматизацию и мониторинг, почти ничего не почувствует. Кто обновляет сертификаты "когда вспомнит", почувствует первым.
Источник: CA/Browser Forum Baseline Requirements.