Почему 15-летние SSL-сертификаты почти никто не использует

Если вы уже не первый год работаете с веб-инфраструктурой, то наверняка привыкли к регулярному обновлению SSL-сертификатов. Каждые три месяца — и по новой. Это стало обычной рутиной.

Но технически можно выпустить сертификат сразу на 15 лет. Технология существует, нужные инструменты тоже. Почему же почти все продолжают жить по 90-дневному циклу?

Откуда взялась 15-летняя опция

Некоторые certificate authorities, особенно в экосистеме Cloudflare, позволяют выпускать Origin Certificates сроком до 15 лет для доменов за прокси. Это не эксперимент и не скрытая функция — опция реально доступна в панели управления.

Почему индустрия выбрала короткие сроки

В 2020 году CA/B Forum начал постепенно отказываться от сертификатов на 2–3 года. Причины были вполне практические:

• При компрометации ключа CA все выданные сертификаты остаются валидными до конца срока. Чем длиннее срок — тем больше окно уязвимости.
• Частая ротация ключей стала нормой. Поддерживать дисциплину на протяжении 15 лет сложнее, чем обновлять сертификат раз в квартал.
• Автоматизация убрала главный аргумент в пользу длинных сертификатов. Когда Let's Encrypt сделал выпуск бесплатным и автоматическим, вручную управлять долгоживущими сертификатами стало просто невыгодно.

Автоматизация решает всё

Главный довод против 15-летних сертификатов — это не безопасность, а здравый смысл. Если у вас уже настроен автоматический выпуск и продление, то срок сертификата перестаёт иметь значение. А если автоматизации нет — то проблема не в сроке, а в процессе.

Короткий цикл заставляет команды выстраивать нормальные процессы. Это своеобразный «напоминание», которое не даёт инфраструктуре обрасти ручным управлением.

Проблема контроля и видимости

Даже если платформа умеет автоматически выбирать тип валидации и тип сертификата, остаётся вопрос доверия. Разработчики привыкли видеть, что сертификат обновился. Это контрольная точка: если что-то сломалось — сразу заметно.

При 15-летнем сертификате такой проверки просто не будет. И это может оказаться опаснее, чем кажется на первый взгляд.

Где длинные сертификаты всё-таки имеют смысл

Есть сценарии, где 15 лет — разумный выбор:

• Внутренние сервисы за Cloudflare, которые не выходят напрямую в интернет.
• Тестовые и staging-окружения.
• IoT-устройства и embedded-системы, где обновление затруднено.
• Резервные сертификаты на случай сбоя основной инфраструктуры.

Что важнее — срок или процесс

Даже если вы решите использовать длинный сертификат, мониторинг и CI/CD-пайплайны всё равно должны быть настроены на регулярную проверку. Иначе вы просто отложите проблему на годы вперёд.

Поэтому фокус стоит держать не на поиске 15-летнего сертификата, а на трёх вещах:

• Надёжная автоматизация
• Мониторинг и алерты
• Документация и disaster recovery

Итог

15-летние сертификаты существуют, но почти не используются — и это не баг, а подтверждение, что индустрия нашла более правильный подход. Короткий цикл плюс автоматизация заставляют инфраструктуру оставаться здоровой. А это важнее, чем один раз настроить и забыть.