Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Proč všichni berou SSL certifikát jen na rok, když by mohli mít patnáct let?

Proč všichni berou SSL certifikát jen na rok, když by mohli mít patnáct let?

Kvě 23, 2026 ssl certificates https cloudflare devops infrastructure automation certificate management dns web security nameocean

Proč se 15leté SSL certifikáty prakticky nepoužívají

Spravujete-li webové projekty déle než pár let, pravděpodobně už máte obnovování SSL certifikátů v krvi. Každých 90 dní. Obnovit. A znovu. Je to tak automatické, že nad tím skoro ani nepřemýšlíte.

Přesto existuje možnost vydat certifikát platný až 15 let. Technologie to umožňuje. Některé certifikační autority to dokážou. A přesto se téměř nikdo touto cestou nevydává. Proč?

Kde se 15leté certifikáty berou

Některé autority, především v ekosystému Cloudflare, nabízejí takzvané Origin Certificates s dlouhou platností. Fungují pro domény, které jsou za proxy, a dají se vygenerovat přímo z dashboardu. Není to žádná teorie – možnost tam prostě je.

Jenže praxe vypadá jinak.

Proč zvítězily tříměsíční cykly

Omezení životnosti certifikátů přišlo postupně. CA/B Forum nejprve zrušilo dvouleté a tříleté platnosti. Důvody byly jasné:

  • Kratší platnost snižuje riziko při kompromitaci privátního klíče.
  • Pravidelná rotace klíčů je bezpečnější než dlouhodobé používání stejného páru.
  • S příchodem Let's Encrypt se automatizace stala standardem. Najednou nebylo důvod držet se dlouhých certifikátů, když je možné vše obnovovat bez zásahu.

Automatizace je klíč

Tady leží jádro problému. Pokud máte dobře nastavené pipeline, certifikáty se obnovují samy. V takovém případě je 15letá platnost spíš zbytečná – a možná i nebezpečná. Dlouhá doba bez obnovy znamená méně příležitostí ověřit, že automatizace stále funguje.

Kratší interval vás nutí udržovat procesy v kondici. Je to jakási pojistka proti zanedbání.

Kdy dává dlouhá platnost smysl

Existují případy, kdy se 15letý certifikát hodí:

  • Interní služby za Cloudflare proxy
  • Vývojová a testovací prostředí
  • Zařízení s omezenou možností aktualizací (například některá IoT řešení)
  • Záložní certifikáty pro disaster recovery

V těchto scénářích riziko nižší a potřeba časté obnovy menší.

Co to znamená pro praxi

I kdybyste měli k dispozici dlouhodobý certifikát, monitoring a alerty byste měli nastavit stejně. CI/CD pipeline by měla testovat obnovu. Dokumentace by měla popisovat celý proces. Dlouhá platnost problém neřeší – jen ho odsouvá.

Lepší je zaměřit se na robustní automatizaci, spolehlivé monitorování a pravidelné testování obnovy. To přináší skutečnou jistotu.

Cloudflare a dlouhé certifikáty

Pokud používáte Cloudflare, máte možnost Origin Certificate s prodlouženou platností vydat. Pro produkční systémy to ale většinou nedává smysl. Pro specifické případy (interní služby, staging, zálohy) to však může být užitečná volba.

Shrnutí

Že 15leté certifikáty existují, ale téměř nikdo je nepoužívá, není chyba trhu. Je to důkaz, že automatizace a kratší cykly se prostě osvědčily. Místo hledání způsobu, jak se vyhnout obnově, je lepší postavit infrastrukturu tak, aby obnova probíhala spolehlivě a bez zásahu.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN