Nu blir det allvar – publika certifikat får dramatiskt kortare livslängd

Det är inte ofta vi ser riktigt stora förändringar i den annars ganska förutsägbara certifikatvärlden. Men nu har det hänt: CA/Browser Forum har röstat igenom en gradvis förkortning av livslängden på publika certifikat – från dagens 1 år till bara 47 dagar. Enligt planen når vi den nya maxgränsen först 2029, men förändringarna börjar märkas redan om ett år.

Det är Apple som har drivit på förändringen, utifrån ett tydligt säkerhetsfokus. Argumentet är enkelt: ju längre ett certifikat gäller, desto större risk att informationen i det hinner bli inaktuell eller felaktig. Kortare giltighet ökar därför tilliten till hela ekosystemet.

Och det stannar inte vid certifikaten. Även DCV (Domain Control Validation) – alltså processen där certifikatutfärdaren kontrollerar att den som begär ett certifikat faktiskt har kontroll över domänen – får förkortad giltighet. Apple sammanfattar det så här:

”Ju mer tid som går från utfärdandet, desto mer sannolikt blir det att data som representeras i certifikatet avviker från verkligheten. […] Att kräva mer frekvent validering minskar risken för fel och för att felaktiga certifikat påverkar ekosystemet negativt.”

Så här ser tidslinjen ut:

• 15 mars 2026: Nya certifikat och deras DCV måste förnyas var 200:e dag.
• 15 mars 2027: Maximal giltighet för certifikat sänks till 100 dagar.
• 15 mars 2029: Giltigheten sänks ytterligare till 47 dagar – och bara 10 dagar för DCV.

Det här förändrar förutsättningarna för hur vi hanterar certifikat och gör att det inte kommer att fungera att fortsätta med gamla manuella för hanteringen.

Tre saker du bör göra redan nu:

1. Automatisera certifikathanteringen
   När certifikat bara gäller i 47 dagar måste förnyelsen ske automatiskt. Med vår publika certifikattjänst kan du utfärda OV-certifikat via ACME-protokollet (Automatic Certificate Management Environment) direkt till servern – med automatik. Allt hanteras smidigt i vår Certificate Manager-portal, där du har full kontroll över certifikatens livscykel.
2. Tänk om kring prissättningen
   Många oroar sig för att tätare förnyelser ska bli dyrare. Vi tror tvärtom. Vår prismodell bygger på transparens och volym – och vi har redan idag marknadens lägsta priser på flera certifikattyper.
3. Inför ACME-support överallt där det går
   Fortfarande finns miljöer där certifikat installeras manuellt – till exempel på lastbalanserare eller proxytjänster med flera. Det kommer inte att hålla i längden när giltighetstiderna blir så pass korta som 47 dagar. Tillverkarna bör införa stöd för ACME i produkterna där publika certifikat används, så fort som möjligt, så kan du vara redo när livslängden kortas ner så drastiskt.

Fler råd och länkar till bra information

Du kan redan idag testa hur mycket du kan spara på vår prisjämförelsesite:
https://tlscertapp.trust.telia.com/tlsapp/

Detaljer kring certifikatsförkortningen på GitHub:
https://github.com/cabforum/servercert/compare/b7fd69b36171d81930e7758482984ce957a1ce7a…91724f5f705443a73306f875149177aec304e376

Läs hur du automatiserar certifikat med ACME: https://support.trust.telia.com/acmehelp_sv.html

Blogg: Undvik certifikatkaos – här är lösningen: https://www.teliacygate.se/inspiration/blogg/full-koll-pa-ssl-certifikaten-om-inte-sa-finns-det-ett-battre-satt/