SSL-certifikater og det lange liv: Hvorfor ingen vælger 15 år

De fleste, der arbejder med webservere, er vant til at forny SSL-certifikater hver 90. dag. Det er blevet en fast rutine. Men teknisk set kan man faktisk få certifikater, der holder i 15 år. Alligevel bruger næsten ingen dem. Hvorfor?

Muligheden findes

Visse certificate authorities – især inden for Cloudflare-miljøet – tilbyder 15-årige Origin Certificates til proxied domæner. Det er ikke bare en teori. Muligheden er reel og tilgængelig.

Alligevel holder branchen fast i de korte levetider. Det skyldes både sikkerhed og praktiske hensyn.

Hvorfor korte certifikater vandt

Da CA/B Forum i 2020 fjernede muligheden for 2- og 3-årige certifikater, accelererede udviklingen mod kortere gyldighed. Argumenterne er klare:

Kort levetid mindsker risikoen, hvis en CA's private nøgle kompromitteres. Samtidig gør hyppige udskiftninger det lettere at rotere nøgler regelmæssigt. Og da Let's Encrypt kom med gratis, automatiserede certifikater, forsvandt incitamentet til at holde fast i manuelle, langlivede løsninger.

Automatisering er nøglen

Det vigtigste argument er automatisering. Hvis din infrastruktur allerede håndterer certifikater automatisk, bliver 15 års gyldighed mindre relevant. Omvendt: Hvis du ikke har automatiseret processen, har du et større problem end certifikatets levetid.

Den 90-dages cyklus tvinger teams til at opbygge ordentlige pipelines. Det bliver en indbygget påmindelse om at holde styr på sine certifikater.

Synlighed og kontrol

Nogle platforme kan automatisk vælge mellem forskellige valideringsmetoder og certifikattyper. Det lyder praktisk, men mange udviklere foretrækker alligevel at se, hvornår certifikater udskiftes. Det fungerer som et tjekpunkt. Et 15-årigt vindue uden berøring kan skabe blinde vinkler.

Situationer hvor lange certifikater giver mening

Der er dog konkrete tilfælde, hvor 15-årige certifikater kan være fornuftige:

• Interne services bag Cloudflare, hvor certifikatet ikke eksponeres offentligt
• Udviklings- og testmiljøer
• IoT-enheder med begrænset mulighed for opdateringer
• Backup- og disaster recovery-scenarier

Den operationelle virkelighed

Selv med et 15-årigt certifikat bør dine monitorerings- og CI/CD-systemer stadig forvente rotation. Infrastrukturen skal kunne håndtere udskiftninger – uanset gyldighedsperiode.

Hvad du bør fokusere på

I stedet for at jagte længere levetid er det mere værd at investere i:

• Stabil automatisering, så fornyelse sker uden manuel indgriben
• Overvågning og alarmer, der advarer i god tid
• Test af disaster recovery-procedurer
• Klar dokumentation af opsætningen

Et 15-årigt certifikat løser ikke de grundlæggende udfordringer. God automatisering gør.

Cloudflares rolle

Kører du Cloudflare foran dine origin-servere, har du mulighed for at udstede længere certifikater, hvis du ønsker det. Det er nyttigt i specifikke tilfælde, men de fleste produktionsmiljøer har stadig bedst af den korte cyklus.

Konklusion

At 15-årige SSL-certifikater findes, men næsten ingen bruger dem, siger noget om, hvordan branchen arbejder. Den korte gyldighed er ikke en begrænsning – den er en funktion, der tvinger os til bedre vaner.