Certyfikaty SSL, odpowiadające za szyfrowanie danych przesyłanych między przeglądarką a stroną internetową, będą ważne znacznie krócej niż dotychczas. Maksymalny okres ich ważności, wynoszący do niedawna nieco ponad rok (398 dni), zostanie stopniowo skrócony aż do 47 dni. Zmiana weszła w życie etapami — pierwszy z nich obowiązuje od 15 marca 2026 roku.
Kluczowe fakty są następujące: maksymalna ważność certyfikatu spada kolejno do 200 dni (marzec 2026), 100 dni (marzec 2027) i docelowo 47 dni (marzec 2029). Dla użytkowników internetu zmiana jest korzystna i w codziennym przeglądaniu stron praktycznie niezauważalna. Właściciele stron korzystający z hostingu z automatycznym odnawianiem certyfikatów nie muszą podejmować żadnych działań, a ceny certyfikatów — zarówno darmowych (Let’s Encrypt), jak i płatnych — pozostają bez zmian. Jedyną grupą, która powinna się przygotować, są administratorzy ręcznie zarządzający certyfikatami na własnych serwerach.
Czym jest certyfikat SSL i do czego służy
Certyfikat SSL to cyfrowe zabezpieczenie, dzięki któremu dane wymieniane między użytkownikiem a stroną internetową są szyfrowane. W praktyce oznacza to, że wpisywane hasło, numer karty płatniczej czy wiadomość wysłana przez formularz kontaktowy są nieczytelne dla osób postronnych. Strony posiadające aktywny certyfikat rozpoznasz po ikonie kłódki w pasku adresu przeglądarki oraz po adresie zaczynającym się od „https”.
Choć wszyscy mówimy „SSL”, technicznie korzystamy już z nowszego standardu — TLS (Transport Layer Security) — który działa szybciej i sprawniej. Najnowsza wersja TLS 1.3 znacząco przyspiesza nawiązywanie bezpiecznego połączenia. Nazwa „certyfikat SSL” pozostała jednak w powszechnym użyciu i stosowana jest zamiennie. Każdy certyfikat ma określony termin ważności. Po jego upływie przeglądarka przestaje ufać połączeniu i wyświetla ostrzeżenie, które skutecznie odstrasza odwiedzających. Więcej o rodzajach certyfikatów i korzyściach z ich stosowania można przeczytać w artykule Czym jest certyfikat SSL i jakie korzyści płyną z jego stosowania.
Co dokładnie się zmienia
W kwietniu 2025 roku organizacja CA/Browser Forum, która ustala zasady wydawania certyfikatów SSL na całym świecie, przegłosowała stopniowe skracanie ich maksymalnej ważności. Decyzję poparli producenci wszystkich głównych przeglądarek — Apple, Google, Mozilla i Microsoft. Zmiany są wprowadzane w trzech etapach: od 15 marca 2026 maksymalna ważność certyfikatu wynosi 200 dni (odnowienie mniej więcej co pół roku), od 15 marca 2027 spada do 100 dni (odnowienie co trzy miesiące), a od 15 marca 2029 osiągnie docelowy limit 47 dni (odnowienie niemal co miesiąc).
Równolegle skraca się okres, przez który urząd certyfikacji może korzystać z wcześniejszej weryfikacji domeny. Do 2029 roku ten okres spadnie do zaledwie 10 dni, co w praktyce oznacza ponowne potwierdzanie prawa do domeny przy każdym odnowieniu. Certyfikaty wydane przed datą wejścia nowych zasad pozostaną ważne do momentu naturalnego wygaśnięcia — nic nie wygaśnie z dnia na dzień.
Dlaczego ważność certyfikatów jest skracana
Najprostsze wyjaśnienie: wyobraź sobie, że zgubiłeś klucze do mieszkania. Jeśli Twój zamek automatycznie zmienia się co rok, znalazca ma dwanaście miesięcy na wejście do środka. Jeśli zamek zmienia się co 47 dni — ma na to niespełna siedem tygodni, zanim klucz stanie się bezużyteczny. Dokładnie tak samo działa krótszy certyfikat SSL — skradziony lub błędnie wystawiony certyfikat traci swoją wartość znacznie szybciej.
Każde odnowienie certyfikatu to jednocześnie wygenerowanie nowego klucza kryptograficznego. Częstsza rotacja kluczy podnosi odporność całego systemu. Incydenty z ostatnich lat — wykorzystanie skradzionych certyfikatów przez grupy hakerskie czy wycieki kluczy SSL przy włamaniach do dużych firm technologicznych — pokazują, że zagrożenie jest realne i dotyczy organizacji każdej wielkości. Jest też argument długofalowy: skrócenie cyklu życia certyfikatów przygotowuje internet na nadejście komputerów kwantowych, które w przyszłości mogą złamać obecnie stosowane algorytmy szyfrowania.
Co to oznacza dla użytkowników
Dla osób odwiedzających strony internetowe zmiana jest korzystna i w codziennym użytkowaniu praktycznie niezauważalna. Kłódka w pasku adresu będzie wyglądać dokładnie tak samo, niezależnie od tego, czy certyfikat jest ważny 398 czy 47 dni. Strona ładuje się identycznie, formularze działają bez zmian, a zakupy online przebiegają jak dotychczas.
Różnica polega na tym, że dane użytkowników będą lepiej chronione. Krótszy certyfikat to mniejsze prawdopodobieństwo, że ktoś wykorzysta przejęte klucze szyfrujące do przechwycenia poufnych informacji. Warto też wiedzieć, że wiele stron korzysta z mechanizmu HSTS (HTTP Strict Transport Security), który sprawia, że przeglądarka automatycznie wymusza bezpieczne połączenie nawet wtedy, gdy użytkownik wpisze adres bez „https”. Krótsze certyfikaty dodatkowo wzmacniają skuteczność tego mechanizmu. Jedyne, co użytkownik może zauważyć, to sytuacja, w której administrator strony nie odnowi certyfikatu na czas — przeglądarka wyświetli wówczas ostrzeżenie o niezabezpieczonym połączeniu.
Co to oznacza dla właścicieli stron
Zmiany będą bardziej odczuwalne po stronie właścicieli stron, choć w większości przypadków nie oznaczają dodatkowej pracy. Wszystko zależy od tego, w jaki sposób certyfikat jest obecnie zarządzany.
Właściciele stron na hostingu współdzielonym mogą odetchnąć. Zdecydowana większość renomowanych firm hostingowych w Polsce oferuje automatyczne odnawianie certyfikatów Let’s Encrypt, które od lat działają w 90-dniowym cyklu. Jeśli Twój hosting obsługuje Let’s Encrypt i certyfikat odnawia się sam — a tak jest w przypadku większości nowoczesnych panelów administracyjnych (DirectAdmin, cPanel, Plesk) — przejście na krótsze certyfikaty odbędzie się w pełni automatycznie. Więcej o infrastrukturze serwerowej i hostingowej można przeczytać na łamach serwisu PraktycznyHosting.
Warto wiedzieć, że certyfikaty Let’s Encrypt to certyfikaty typu DV (Domain Validation) — najprostsze i darmowe, potwierdzające, że jesteś prawowitym właścicielem domeny. Dla zdecydowanej większości stron — blogów, sklepów, firm usługowych — taki poziom weryfikacji jest w pełni wystarczający i zapewnia identyczne szyfrowanie jak droższe certyfikaty. Właściciele korzystający z płatnych certyfikatów (OV lub EV) nie zapłacą więcej — model subskrypcji rocznej pozostaje bez zmian, a certyfikat jest w tym czasie automatycznie odnawiany zgodnie z nowymi limitami.
Czy muszę coś klikać?
Krótka odpowiedź: prawdopodobnie nie. Jeśli masz nowoczesny hosting, Twoim jedynym zadaniem jest opłacanie hostingu na czas. System sam sprawdza, kiedy certyfikat wygasa, sam go odnawia i sam instaluje nowy. Możesz to łatwo zweryfikować — kliknij kłódkę w pasku adresu swojej strony i sprawdź datę ważności certyfikatu. Jeśli jest ważny krócej niż 90 dni, korzystasz z automatycznie odnawianego Let’s Encrypt i cały proces działa bez Twojego udziału.
Jedyna sytuacja, w której możesz musieć podjąć działanie, to hosting nieobsługujący automatycznego odnawiania. Warto skontaktować się ze swoim dostawcą i zapytać, czy oferuje taką funkcję — jeśli nie, rozważ zmianę na hosting, który ją zapewnia. W 2026 roku automatyczne zarządzanie certyfikatami to już standard branżowy.
Jak się przygotować
Pierwszy etap zmian obowiązuje od 15 marca 2026 roku. Warto zacząć od trzech prostych kroków. Przede wszystkim sprawdź, czy Twój obecny certyfikat odnawia się automatycznie. Jeśli korzystasz z hostingu współdzielonego i certyfikatu Let’s Encrypt, z dużym prawdopodobieństwem wszystko już działa prawidłowo. Następnie, jeśli korzystasz z płatnego certyfikatu, skontaktuj się z jego dostawcą i upewnij się, że automatyczne odnawianie jest aktywne. Na koniec warto sprawdzić, czy Twoja infrastruktura korzysta z mechanizmów uwierzytelniania poczty — takich jak SPF, DKIM i DMARC — które są częścią szerszego podejścia do bezpieczeństwa serwerów DNS.
Dla administratorów i osób technicznych
Ta sekcja jest skierowana do osób zarządzających serwerami samodzielnie — jeśli korzystasz ze zwykłego hostingu, możesz ją pominąć.
Administratorzy serwerów dedykowanych i VPS powinni upewnić się, że mają wdrożoną automatyzację opartą na protokole ACME (Automatic Certificate Management Environment). Narzędzia takie jak Certbot czy acme.sh potrafią samodzielnie odnowić certyfikat, zweryfikować domenę i zainstalować nowy certyfikat na serwerze bez ingerencji człowieka. Jeśli automatyzacja działa poprawnie przy obecnym 90-dniowym cyklu Let’s Encrypt, będzie działać równie dobrze przy krótszych certyfikatach. Kluczowe jest skonfigurowanie zadania w harmonogramie systemowym (cron) oraz automatyczne przeładowanie serwera WWW po każdym odnowieniu.
Organizacje zarządzające wieloma certyfikatami powinny rozważyć wdrożenie platformy CLM (Certificate Lifecycle Management), zapewniającej scentralizowany podgląd wszystkich certyfikatów, automatyczne odnawianie oraz powiadomienia o zbliżających się terminach wygaśnięcia. Narzędzia oferowane przez dostawców takich jak DigiCert, Sectigo czy CyberArk mogą pomóc w audycie i zinwentaryzowaniu certyfikatów na starszych serwerach czy zapomnianych subdomenach. Warto też pamiętać, że zmiany dotyczą wyłącznie publicznych certyfikatów SSL wydawanych przez publicznie zaufane urzędy certyfikacji — wewnętrzna infrastruktura PKI nie podlega nowym zasadom.
Najczęściej zadawane pytania
Czy moja strona przestała działać po 15 marca 2026? Nie. Certyfikaty wydane przed tą datą pozostają ważne do momentu naturalnego wygaśnięcia. Nowe limity dotyczą wyłącznie certyfikatów wystawianych po dacie granicznej.
Czy będę musiał płacić więcej za certyfikat? Nie. Darmowe certyfikaty Let’s Encrypt pozostają bezpłatne. W przypadku płatnych certyfikatów model subskrypcji rocznej się nie zmienia — w ramach opłaty certyfikat jest odnawiany dowolną liczbę razy.
Skąd wiem, czy mój certyfikat odnawia się automatycznie? Kliknij kłódkę w pasku adresu przeglądarki i sprawdź datę ważności. Jeśli certyfikat jest ważny krócej niż 90 dni, najprawdopodobniej korzystasz z automatycznie odnawianego Let’s Encrypt. Możesz też zapytać swojego dostawcę hostingu.
Mam stronę na WordPressie. Czy muszę coś zmieniać? Jeśli Twój hosting obsługuje automatyczne odnawianie certyfikatów, nie musisz robić nic. Certyfikat dotyczy serwera, nie samego WordPressa.
Czy 47-dniowy certyfikat szyfruje gorzej niż roczny? Absolutnie nie. Poziom szyfrowania jest identyczny niezależnie od okresu ważności. Jedyna różnica to częstotliwość odnawiania.
Co jeśli mój hosting nie obsługuje automatycznego odnawiania? Skontaktuj się z dostawcą i zapytaj o tę funkcję. Jeśli jej nie oferuje, rozważ zmianę na hosting, który ją zapewnia.
Podsumowanie
Skrócenie ważności certyfikatów SSL do 47 dni to istotna zmiana, realizowana jednak stopniowo i z myślą o bezpieczeństwie. Dla użytkowników internetu oznacza lepszą ochronę danych. Dla właścicieli stron korzystających z nowoczesnego hostingu z automatycznym odnawianiem — przejście powinno być niezauważalne. Kto wciąż polega na ręcznym zarządzaniu certyfikatami, powinien jak najszybciej wdrożyć automatyzację.