Ako koristite SSL sertifikat na svom sajtu, web aplikaciji, mail serveru ili API-ju, naredne godine donose važne promene koje ne treba ignorisati. Pravila za važenje javnih TLS/SSL sertifikata se menjaju na nivou cele industrije, a cilj tih promena je veća bezbednost, brže reagovanje na kompromitovane sertifikate i jače oslanjanje na automatizaciju.
Mnogi vlasnici sajtova su godinama bili naviknuti na sertifikate koji traju skoro godinu dana, uz povremenu ručnu obnovu. Međutim, taj model polako odlazi u prošlost. Industrijski standard ide ka sve kraćim rokovima važenja, što znači da će se sertifikati obnavljati češće, a ručno upravljanje postajati sve rizičnije.
U ovom tekstu objasnićemo:
- koja su nova pravila za važenje SSL sertifikata,
- od kada počinju promene,
- kako se to odnosi na komercijalne CA-ove,
- šta se dešava sa Let’s Encrypt-om,
- i šta vlasnici sajtova treba da urade već sada.
Zašto se uopšte menja trajanje SSL sertifikata
SSL, odnosno preciznije TLS sertifikat, služi da potvrdi identitet domena i obezbedi šifrovanu komunikaciju između korisnika i servera. Problem sa dugim rokom važenja je to što kompromitovani ili zastareli podaci mogu ostati „živi” predugo. Ako sertifikat traje dugo, duže traje i period u kome pogrešno izdat ili kompromitovan sertifikat može da bude aktivan. Kraći rokovi smanjuju taj rizik i teraju celu industriju da se osloni na češću proveru i automatizovano obnavljanje.
Drugim rečima, ideja nije da se administratorima oteža posao, već da se poveća bezbednost interneta kao celine. Što je sertifikat kraći, manja je šteta ako dođe do problema, a sistem se prirodno oslanja na redovne obnove i aktuelne provere vlasništva nad domenom.
Ko je doneo nova pravila
Promene dolaze kroz pravila CA/Browser Foruma, tela koje okuplja izdavače sertifikata i proizvođače browsera. U aprilu 2025. usvojen je ballot SC-081v3, kojim je definisan raspored postepenog skraćivanja maksimalnog roka važenja TLS sertifikata i perioda ponovnog korišćenja validacionih podataka.
To znači da se ne radi o glasinama ili izolovanoj odluci jednog provajdera, već o pravcu u kome ide ceo javni ekosistem sertifikata. Browseri, CA-ovi i ACME alati moraće da se prilagode tim rokovima.
Koja su nova pravila i od kada kreću
Trenutno je maksimalno važenje javnog TLS sertifikata 398 dana. To je stanje koje je važilo prethodnih godina za veliki deo komercijalnih sertifikata. Međutim, usvojen je jasan raspored daljeg skraćivanja.
Prema usvojenom rasporedu:
Do 15. marta 2026. maksimalno važenje ostaje 398 dana.
Od 15. marta 2026. maksimalno važenje pada na 200 dana.
Od 15. marta 2027. maksimalno važenje pada na 100 dana.
Od 15. marta 2029. maksimalno važenje pada na svega 47 dana.
Ovo je jedna od najvećih promena u praksi upravljanja sertifikatima u poslednjih nekoliko godina. Ako danas imate naviku da „jednom godišnje” proverite sertifikat i završite posao, taj pristup više neće biti održiv. Posebno kada rok padne na 100, a kasnije i 47 dana, automatizacija više neće biti preporuka nego realna potreba.
Ne menja se samo sertifikat, menja se i validacija
Važno je razumeti da se ne skraćuje samo životni vek samog sertifikata. Skraćuju se i rokovi za ponovno korišćenje već postojećih validacionih podataka, naročito za potvrdu kontrole nad domenom. CA/Browser Forum je u istom rasporedu predvideo i postepeno smanjenje perioda za reuse validacije.
To znači da CA neće moći još dugo da se oslanja na stare potvrde vlasništva domena kao do sada. Validacije će morati češće da se osvežavaju, što dodatno ide u prilog ACME pristupu i punoj automatizaciji.
Za firme koje imaju više domena, više poddomena, load balancere, proxy slojeve, API gateway-e ili više servera, ovo je signal da provere kako im je rešen renewal proces. Ko to ne uradi na vreme, suočiće se sa češćim istekom sertifikata i većim rizikom od prekida rada sajta ili servisa.
Šta se dešava sa Let’s Encrypt-om
Kada se govori o promenama u SSL svetu, mnogi prvo pitaju: da li se nešto menja sa Let’s Encrypt-om? Odgovor je: da, ali ne na način koji bi trebalo da zabrine korisnike.
Let’s Encrypt i dalje ostaje besplatan javni CA i nastavlja da izdaje TLS sertifikate bez naknade. Njegov standardni model je već dugo drugačiji od komercijalnih sertifikata, jer podrazumevani sertifikati važe 90 dana. Let’s Encrypt u svom zvaničnom FAQ-u i dalje navodi da su podrazumevani sertifikati 90-dnevni i preporučuje da se obnova radi na oko 60 dana.
Dakle, za korisnike Let’s Encrypt-a nema šoka u smislu prelaska sa godinu dana na nekoliko meseci, jer su oni već godinama u modelu kratkog trajanja. Zato se može reći da su korisnici Let’s Encrypt-a već unapred pripremljeni za smer u kome ide industrija.
Let’s Encrypt uvodi i 6-dnevne sertifikate
Pored standardnih 90-dnevnih sertifikata, Let’s Encrypt je uveo i novu opciju: kratkotrajne sertifikate od 6 dana. Ova opcija je prvo najavljena tokom 2025. godine, a zatim su 6-dnevni sertifikati i IP address sertifikati postali generalno dostupni 15. januara 2026.
Let’s Encrypt navodi da su ti sertifikati validni 160 sati, odnosno nešto više od šest dana, i da se dobijaju izborom odgovarajućeg ACME profila, konkretno profila shortlived.
Ovo nije namenjeno svakome. Za prosečan mali sajt, klasičan 90-dnevni Let’s Encrypt sertifikat i dalje je najpraktičnija opcija. Međutim, za naprednije sisteme koji žele još bržu rotaciju sertifikata, kraći period izloženosti i moderniji automatizovan pristup, 6-dnevni sertifikati predstavljaju logičan sledeći korak.
Da li Let’s Encrypt prelazi na 45 dana
Da. Let’s Encrypt je zvanično objavio da će se prilagoditi novim industrijskim pravilima i da planira dalje skraćivanje trajanja svojih klasičnih sertifikata. Prema njihovim zvaničnim objavama, prvo će doći do smanjenja na 64 dana 10. februara 2027., a zatim na 45 dana 16. februara 2028.
To je veoma važna informacija za sve koji koriste stare skripte, hosting panele ili ACME klijente koji se oslanjaju na krute intervale obnavljanja, na primer na fiksno pravilo „obnovi svakih 60 dana“. Let’s Encrypt je i sam ukazao da takvi klijenti mogu predstavljati problem kada se trajanje sertifikata dodatno skrati.
Drugim rečima, nije dovoljno samo reći „imam auto-renew”. Potrebno je proveriti kako je taj auto-renew podešen i da li će ispravno funkcionisati i kada životni vek sertifikata postane kraći od onoga na šta je sistem navikao.
Šta to znači za vlasnike sajtova i server administratore
Za vlasnike običnih sajtova, firmi koje koriste hosting panel i administratore VPS servera, poruka je jednostavna: sertifikati se neće ukinuti, ali će morati da se obnavljaju sve češće. Ako koristite Let’s Encrypt preko CyberPanel-a, cPanela, Pleska, Virtualmina, aaPanel-a, HestiaCP-a ili kroz certbot/acme.sh, najvažnije je da proverite da li automatska obnova zaista radi.
Najveći problem neće imati oni koji koriste automatizaciju, već oni koji:
- ručno obnavljaju sertifikate,
- imaju zastarele ACME klijente,
- koriste custom skripte bez nadzora,
- zavise od ručnog DNS challenge procesa,
- ili uopšte ne proveravaju renewal logove.
Kad rokovi padnu na 100 dana, a kasnije na 47 dana, i najmanji propust može izazvati nedostupnost sajta, upozorenje u browseru, prekid API komunikacije, probleme sa webhook-ovima, mail servisima ili mobilnim aplikacijama koje se oslanjaju na HTTPS endpoint-e. To više nije samo „SEO” ili „lepša zelena bravica”, već pitanje kontinuiteta rada i poverenja korisnika.
Da li treba da brinete ako već koristite Let’s Encrypt
U većini slučajeva — ne treba da paničite, ali treba da proverite sistem. Let’s Encrypt je zapravo u dobroj poziciji jer je od početka građen oko automatizacije. Ako imate korektno podešen ACME klijent i renewal već godinama radi bez greške, verovatno ćete bez velikih problema ispratiti i buduće promene.
Međutim, ako koristite staru konfiguraciju koju „niko nije dirao godinama”, ručno kopiranje sertifikata između servera, neobične reverse proxy postavke ili komplikovan DNS challenge bez kontrole, sada je pravi trenutak da to sredite. Promene koje dolaze neće nužno odmah oboriti sajt, ali će povećati verovatnoću da do problema dođe baš onda kada vam najmanje odgovara.
Šta bi trebalo uraditi već sada
Najpametnije je da se priprema uradi pre nego što kraći rokovi postanu obavezni. Dobar prvi korak je provera sledećih stvari:
Da li je renewal automatizovan?
Da li vaš ACME klijent redovno radi bez greške?
Da li postoji monitoring koji upozorava pre isteka sertifikata?
Da li su DNS i web challenge ispravno podešeni?
Da li koristite star alat ili panel koji možda neće dobro pratiti nove profile i kraće rokove?
Ako na bilo koje od ovih pitanja nemate siguran odgovor, onda postoji prostor za unapređenje. Danas je možda dovoljno imati renewal na 90 dana, ali vrlo brzo će standardi tražiti daleko češći ciklus i više discipline u održavanju.
SSL/TLS sertifikati ne nestaju, ali se pravila njihovog trajanja značajno menjaju. Industrija prelazi sa maksimalnih 398 dana na 200, zatim 100, a potom 47 dana kroz faze koje počinju od 15. marta 2026. godine. Paralelno s tim, skraćuju se i periodi za ponovno korišćenje validacionih podataka.
Let’s Encrypt ostaje besplatan i veoma relevantan, ali i on ide ka još kraćim rokovima. Standardni sertifikati su trenutno 90-dnevni, 6-dnevni sertifikati su od 15. januara 2026. postali generalno dostupni, a dodatno skraćivanje na 64 i 45 dana već je zvanično najavljeno za 2027. i 2028. godinu.
Suština je jasna: budućnost SSL sertifikata nije u ručnom obnavljanju, već u pouzdanoj automatizaciji. Ko to usvoji na vreme, neće imati problem. Ko odlaže proveru renewal procesa, rizikuje prekide, sigurnosna upozorenja i nepotrebne tehničke probleme.
