Blog CrtMgr - Zarządzanie Certyfikatami SSL/TLS

Eksperckie wskazówki dotyczące zarządzania certyfikatami SSL/TLS, rodzajów certyfikatów, wdrażania i najlepszych praktyk

EN PL

Skracanie okresu ważności certyfikatów SSL/TLS: 200, 100 i 47 dni - Co to oznacza dla administratorów?

Published on January 21, 2026 by Zespół CrtMgr • 5 min read
SSL TLS Bezpieczeństwo Monitoring Automatyzacja DevOps

Jeszcze kilka lat temu można było kupić certyfikat SSL na 5 lat i spokojnie o nim zapomnieć. Te czasy bezpowrotnie minęły. Branża systematycznie skraca okresy ważności certyfikatów - i jeśli myślisz, że 398 dni to już krótko, poczekaj aż zobaczysz co planuje CA/Browser Forum na najbliższe lata. Spoiler: 47 dni.

Skracanie okresu ważności zwiększa bezpieczeństwo poprzez szybszą wymianę skompromitowanych kluczy, częstszą rotację i szybsze wdrażanie nowych standardów kryptograficznych. Ogranicza też szkody w przypadku naruszenia i zmusza organizacje do automatyzacji. Zgodnie z trendem branżowym, certyfikaty SSL/TLS już przeszły przez ten proces, teraz podobne zmiany dotyczą code signing.

Harmonogram skracania okresu ważności

Żeby zrozumieć dokąd zmierzamy, warto zobaczyć skąd przyszliśmy. Historia skracania okresów ważności to fascynująca lekcja o tym, jak cała branża pcha się w stronę automatyzacji.

Obecny stan: 398 dni (od września 2020)

To obecny standard wdrożony przez Apple, Google i Mozilla:

  • Maksymalny okres ważności: 398 dni
  • Wymuszony przez przeglądarki, nie przez CA (Certificate Authorities)
  • Certyfikaty ważne dłużej nie są uznawane przez przeglądarki

Planowane zmiany

Branża planuje dalsze skrócenie okresów ważności w nadchodzących latach:

Etap 1: 200 dni (proponowane na 2025-2026)

  • Docelowy okres: 200 dni (około 6.5 miesiąca)
  • Status: Proposal w CA/Browser Forum
  • Wpływ: Wymaga odnowienia certyfikatów prawie 2 razy w roku

Etap 2: 100 dni (proponowane na 2026-2027)

  • Docelowy okres: 100 dni (około 3.3 miesiąca)
  • Status: W dyskusji
  • Wpływ: Odnowienia certyfikatów prawie 4 razy w roku

Etap 3: 47 dni (długoterminowa wizja)

  • Docelowy okres: 47 dni (około 1.5 miesiąca)
  • Status: Długoterminowa propozycja (2027+)
  • Wpływ: Odnowienia certyfikatów ponad 7 razy w roku
  • Inspiracja: Let’s Encrypt już teraz wydaje certyfikaty na 90 dni

Przy 47-dniowych certyfikatach, automatyzacja staje się absolutną koniecznością. Jeśli pracujesz z Kubernetes, mamy dla ciebie dobry news - sprawdź jak cert-manager automatyzuje zarządzanie certyfikatami w Kubernetes. To właśnie ten typ narzędzi stanie się standardem.

Dlaczego akurat te liczby?

  • 90 dni (Let’s Encrypt): Dość krótki, by zachęcić do automatyzacji, ale wystarczająco długi na zarządzanie
  • 47 dni: Propozycja oparta na półtoramiesięcznym cyklu, co pozwala na 8 odnowień rocznie z buforem czasowym

Konsekwencje dla administratorów systemów

1. Koniec ręcznego zarządzania certyfikatami

Ręczne odnowienie certyfikatu co 47 dni to niewykonalne zadanie dla większości organizacji. To oznacza:

Konieczność automatyzacji

  • Implementacja narzędzi typu ACME (Let’s Encrypt)
  • Wykorzystanie rozwiązań automatyzacji dla różnych środowisk
  • Skrypty automatyzujące proces odnowienia

Zmiana kultury organizacyjnej

  • Przejście od “set and forget” do “automated and monitored”
  • Wymaga zaangażowania zespołów DevOps i SecOps

2. Monitoring staje się krytyczny

Gdy certyfikaty wygasają tak często, monitoring jest absolutnie niezbędny:

Co należy monitorować:

  • Daty wygaśnięcia certyfikatów (z odpowiednim wyprzedzeniem)
  • Status procesów odnowienia
  • Błędy w automatyzacji
  • Certyfikaty na wszystkich środowiskach (produkcja, staging, development)

Przykładowy workflow alertów:

  • 30 dni przed wygaśnięciem: Powiadomienie informacyjne
  • 14 dni przed wygaśnięciem: Ostrzeżenie - sprawdź automatyzację
  • 7 dni przed wygaśnięciem: Alert krytyczny - natychmiastowa interwencja

Gdy masz do czynienia z setkami certyfikatów odnawianymi co 47 dni, ręczny monitoring to mit. Właśnie dlatego warto zainwestować czas w porządny stack monitoringu - Prometheus i Grafana do monitorowania certyfikatów SSL to sprawdzone połączenie, które działa w każdej skali.

3. Potrzeba centralnego zarządzania

W organizacjach z wieloma domenami i środowiskami, konieczne jest:

Scentralizowany rejestr certyfikatów

  • Lista wszystkich certyfikatów w organizacji
  • Właściciele poszczególnych certyfikatów
  • Informacje o środowiskach i aplikacjach

Unified visibility

  • Jeden dashboard dla wszystkich certyfikatów
  • Przejrzysty widok statusu odnowień
  • Historia zmian i odnowień

4. Zwiększone obciążenie infrastruktury

Częstsze odnowienia oznaczają:

Więcej requestów do CA

  • Zwiększone wykorzystanie API Let’s Encrypt lub innych CA
  • Potencjalne rate limiting (limity zapytań)
  • Konieczność planowania odnowień

Większe zużycie zasobów

  • Procesory CPU (generowanie kluczy)
  • Przestrzeń dyskowa (przechowywanie certyfikatów)
  • Network bandwidth (pobieranie certyfikatów)

5. Potencjalne problemy i wyzwania

Legacy systems

  • Stare aplikacje bez wsparcia dla automatyzacji ACME
  • Urządzenia embedded z trudnym dostępem
  • Systemy wymagające ręcznej konfiguracji

Dependency hell

  • Certyfikaty używane w wielu miejscach
  • Konieczność synchronizacji między środowiskami
  • Łańcuchy zaufania i intermediate certificates

Procedury awaryjne

  • Co zrobić, gdy automatyzacja zawiedzie?
  • Jak szybko wykonać manualne odnowienie?
  • Dokumentacja procesów awaryjnych

Jak się przygotować?

Krok 1: Audyt obecnych certyfikatów

# Przykładowy skrypt do sprawdzenia certyfikatów
for domain in $(cat domains.txt); do
    echo "Checking $domain"
    echo | openssl s_client -servername $domain -connect $domain:443 2>/dev/null | \
        openssl x509 -noout -dates
done

Co sprawdzić:

  • Lista wszystkich domen z certyfikatami SSL/TLS
  • Obecne daty wygaśnięcia
  • Źródła certyfikatów (CA)
  • Lokalizacje przechowywania certyfikatów
  • Aplikacje i usługi korzystające z certyfikatów

Krok 2: Implementacja automatyzacji

Dla środowisk z Kubernetes:

# Automatyzacja z Let's Encrypt
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: admin@example.com
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx

Dla tradycyjnych serwerów:

  • Certbot (Let’s Encrypt)
  • acme.sh
  • Własne skrypty wykorzystujące ACME protocol

Krok 3: Wdrożenie monitoringu

Kluczowe metryki do śledzenia:

  • Czas do wygaśnięcia (w dniach)
  • Status ostatniego odnowienia (sukces/błąd)
  • Historia odnowień
  • Alerty dla krytycznych certyfikatów

Krok 4: Dokumentacja i procedury

Co udokumentować:

  • Proces odnowienia (automatyczny i manualny)
  • Procedury awaryjne
  • Kontakty do osób odpowiedzialnych
  • Kroki troubleshootingu

Krok 5: Testing i monitoring

Regularne testy:

  • Test scenariusza odnowienia
  • Sprawdzanie alertów
  • Weryfikacja łańcuchów zaufania
  • Testy wydajności

Krótkie okresy ważności certyfikatów to nie jest problem - to wymuszenie dobrego zachowania na całej branży. Organizacje, które wcześniej zarządzały certyfikatami ’na oko’, teraz muszą zbudować porządną automatyzację i monitoring. CrtMgr pomaga w centralnym zarządzaniu i monitorowaniu wszystkich certyfikatów - niezależnie od tego, czy masz ich 5 czy 500.

Jak się do tego przygotować? Schemat jest prosty i sprawdzony. Kilka zasad, które zadziałają niezależnie od wielkości organizacji:

1. Automatyzuj wszystko, co się da

# Przykład automatyzacji z Let's Encrypt (certbot)
0 0 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"

2. Implementuj monitoring od początku

  • Nie czekaj na problemy
  • Monitoring to ubezpieczenie, nie koszt

3. Dokumentuj procesy

  • Co robi automatyzacja?
  • Jak wykonać odnowienie ręczne?
  • Kto jest odpowiedzialny?

4. Testuj procedury awaryjne

  • Co najmniej raz na kwartał
  • Symuluj awarie automatyzacji
  • Sprawdź, czy zespół wie, co robić

5. Wykorzystuj centralne narzędzia

  • CrtMgr do monitoringu i zarządzania
  • Narzędzia automatyzacji dla Kubernetes
  • Centralne repozytoria dla certyfikatów

6. Planuj migrację stopniowo

  • Zacznij od środowisk testowych
  • Przenieś aplikacje stopniowo
  • Monitoruj wpływ na infrastrukturę

7. Komunikuj zmiany

  • Informuj zespoły o nadchodzących zmianach
  • Szkolenia z nowych narzędzi
  • Dokumentacja dostępna dla wszystkich

Branża się zmienia, ale w tym wypadku to zmiana na lepsze. Krótsze okresy ważności wymuszają dobre praktyki, które powinny być standardem od dawna. Zacznij od małych kroków - audyt, monitoring, automatyzacja - i bądź przygotowany zanim CA/Browser Forum wymusi to na tobie. Wypróbuj CrtMgr za darmo i miej pełny obraz wszystkich swoich certyfikatów w jednym miejscu.

Related Articles