Thời hạn chứng chỉ TLS sẽ chính thức giảm chỉ còn 47 ngày
Diễn đàn CA/Browser Forum đã chính thức bỏ phiếu sửa đổi Yêu cầu Cơ bản TLS (TLS Baseline Requirements) để đặt ra một lộ trình rút ngắn cả thời gian hiệu lực của chứng chỉ TLS và thời gian tái sử dụng thông tin đã được xác thực trong chứng chỉ. Các tác động đầu tiên đến người dùng sẽ bắt đầu từ tháng 3/2026
Lộ trình mới về thời hạn chứng chỉ TLS
Việc bỏ phiếu nhằm mục đích hướng tới thời hạn hiệu lực chứng chỉ chỉ còn 47 ngày, điều này khiến tự động hóa trở nên tối cần thiết. Trước đề xuất này từ Apple thì Google trước đó đã từng thúc đẩy mức tối đa 90 ngày, nhưng khi bỏ phiếu diễn ra, Google đã ủng hộ đề xuất của Apple gần như ngay lập tức.
Thời hạn hiệu lực chứng chỉ TLS tối đa theo lộ trình:
• Hiện tại đến 15/03/2026: thời hạn tối đa là 398 ngày
• Từ 15/03/2026: thời hạn tối đa giảm còn 200 ngày
• Từ 15/03/2027: thời hạn tối đa giảm còn 100 ngày
• Từ 15/03/2029: thời hạn tối đa giảm còn 47 ngày
Thời gian tái sử dụng thông tin đã xác thực (ví dụ: Domain/IP):
Tương tự như thời hạn hiệu lực, thông tin được xác thực như Domain hay IP cũng sẽ có thời gian tái sử dụng ngắn hơn theo từng giai đoạn:
• Đến 15/03/2026: 398 ngày
• Từ 15/03/2026: 200 ngày
• Từ 15/03/2027: 100 ngày
• Từ 15/03/2029: 10 ngày
Ngoài ra, Thông tin Nhận dạng Chủ thể (SII) — như tên công ty trong chứng chỉ OV/EV — sẽ chỉ có thể tái sử dụng trong 398 ngày kể từ 15/03/2026 (giảm so với 825 trước đây). Điều này không ảnh hưởng đến chứng chỉ DV (Domain Validated) vì loại này vốn không chứa SII.
Tại sao lại là 47 ngày?
Con số “47 ngày” có thể dường như ngẫu nhiên, nhưng thực tế nó là kết quả của một phép tính theo tháng:
• 200 ngày ≈ 6 tháng tối đa (184 ngày) + nửa tháng (15 ngày) + 1 ngày
• 100 ngày ≈ 3 tháng tối đa (92 ngày) + 1/4 tháng (7 ngày) + 1 ngày
• 47 ngày ≈ 1 tháng tối đa (31 ngày) + nửa tháng (15 ngày) + 1 ngày
Lý do thay đổi Apple trình bày nhiều lập luận ủng hộ việc rút ngắn thời hạn này, trong đó quan trọng nhất là:
• Thông tin trong chứng chỉ kém tin cậy hơn theo thời gian — nên việc tái xác thực thường xuyên là cần thiết.
• Các hệ thống thu hồi chứng chỉ như CRL và OCSP không hoạt động hiệu quả vì nhiều trình duyệt bỏ qua chúng — do vậy việc hạn chế thời gian hiệu lực giúp giảm rủi ro sử dụng chứng chỉ đã bị thu hồi.
Thật vậy, từ năm 2023, CA/B Forum đã chấp thuận chứng chỉ có thời hạn rất ngắn (7 ngày) không cần CRL hay OCSP.
Lưu ý về quy định mới
Một số điều dễ gây nhầm lẫn:
1. Các mốc thay đổi diễn ra vào 2026, 2027 và 2029 — nhưng khoảng cách giữa giai đoạn hai và ba là 2 năm.
2. 15/03/2029 là ngày quy định cả thời hạn hiệu lực chỉ còn 47 ngày và thời gian tái sử dụng domain/IP chỉ còn 10 ngày. Việc thực hiện xác thực bằng tay trong khung thời gian ngắn như vậy sẽ rất khó và dễ dẫn đến lỗi/ngừng hoạt động nếu không có tự động hóa
Tự động hóa là điều bắt buộc
DigiCert nhấn mạnh rằng, khi lộ trình này có hiệu lực:
Việc gia hạn thủ công sẽ trở nên kém khả thi, nhất là sau khi tới 100 ngày và cuối cùng là 47 ngày.
Do đó, tự động hóa quản lý chứng chỉ (như ACME, các công cụ CertCentral, Trust Lifecycle Manager…) là chìa khóa để duy trì trạng thái luôn hợp lệ mà không gặp lỗi hay gián đoạn dịch vụ.
DigiCert cũng cho biết rằng chi phí phát hành lại chứng chỉ không tăng, vì hầu hết khách hàng đã tự động hóa vòng đời chứng chỉ và cập nhật thường xuyên.
Lộ trình mới này là một cuộc chuyển dịch lớn trong việc quản lý chứng chỉ TLS toàn cầu, buộc tổ chức và doanh nghiệp:
• Phải áp dụng tự động hóa quản lý chứng chỉ ngay từ bây giờ.
• Theo dõi kỹ các mốc giảm thời hạn để chuẩn bị công nghệ và quy trình vận hành.
Thông tin liên quan: https://www.digicert.com/blog/new-certificate-lifetime-proposed-by-apple
