Срок действия SSL/TLS-сертификата определяется полями notBefore и notAfter в X.509. Браузер отклоняет сертификат, если текущее время выходит за эти границы. Срок сознательно ограничивается: чем короче, тем быстрее рынок получает обновлённые сертификаты с актуальными алгоритмами и ключами.
Эволюция максимального срока
- До 2011 года: до 10 лет.
- 2011–2015: максимум 5 лет.
- 2015–2018: максимум 3 года (39 месяцев).
- 2018–2020: максимум 2 года (825 дней).
- С сентября 2020: максимум 398 дней — решение Apple, поддержанное Google и Mozilla.
- Let's Encrypt: 90 дней (с 2015 года), с возможностью сокращения до 6 дней.
Почему 90 дней у Let's Encrypt
Короткий срок заставляет настраивать автоматическое продление — это устраняет класс уязвимостей, связанных с забытыми просроченными сертификатами. Certbot обновляет сертификат за 30 дней до истечения. ACME-клиенты в панелях управления (cPanel, ISPmanager) делают это автоматически.
Что происходит при истечении
Браузер показывает страницу предупреждения, блокируя доступ. HSTS (HTTP Strict Transport Security) усугубляет ситуацию: если HSTS-заголовок кешировался с includeSubDomains, все субдомены недоступны до обновления сертификата. Мониторинг срока сертификатов — обязательная процедура: инструменты вроде Zabbix, Prometheus или специализированные сервисы (SSL Labs) отслеживают экспирацию.
История
В 2001 году были актуальны 10-летние сертификаты: короткий срок не имел смысла при ручном управлении. CA/Browser Forum сократил максимум до 39 месяцев в 2015 году, до 825 дней — в 2018 году. В 2020 году Apple в одностороннем порядке ограничила признаваемые сертификаты 398 днями; Google и Mozilla последовали. В 2024 году Google предложил сократить максимум до 90 дней к 2027 году.
Связь с хостингом
Автоматическое продление через ACME — обязательная практика. Для Nginx настраивается certbot в cron: certbot renew --quiet каждые 12 часов. Коммерческие сертификаты (DigiCert, Sectigo) продлеваются вручную или через API платформ управления сертификатами.
Изменения сроков сертификатов
До 2015 года SSL-сертификаты выдавались на 5 лет. CA/Browser Forum сократил максимальный срок до 3 лет (2015), затем до 2 лет (2018), затем до 13 месяцев (397 дней, 2020). Apple принудительно ограничила доверие к сертификатам сроком >398 дней с Safari 13 (2020). Тенденция к сокращению: Google предлагает срок 90 дней (2023), аргументируя ускоренным отзывом скомпрометированных ключей. Let's Encrypt выдаёт сертификаты на 90 дней с автопродлением за 30 дней до истечения. Краткосрочные сертификаты снижают риск: при компрометации ключа сертификат устаревает раньше.
Мониторинг срока действия
Просроченный SSL-сертификат полностью блокирует доступ к сайту в браузерах (ошибка ERR_CERT_DATE_INVALID). Это катастрофа для production. Настройте мониторинг заблаговременно: openssl x509 -enddate -noout -in cert.pem показывает дату истечения. Nagios/Zabbix-плагины мониторят сроки автоматически и отправляют алерты за 30/14/7 дней. Certbot с cron-задачей обновляет сертификаты автоматически. Срок действия сертификата проверяется через OCSP в дополнение к локальной дате.
На что обращать внимание
Для хостинга с несколькими доменами: настройте централизованный мониторинг сроков через UptimeRobot (проверка HTTPS) или специализированные сервисы (Cert Expiry Monitor). Автоматическое продление через acme.sh или Certbot должно быть настроено и проверено -- тестируйте принудительное продление командой certbot renew --dry-run. Убедитесь, что renewal hook перезапускает Nginx или другой сервер после обновления сертификата.