Miksi kukaan ei käytä 15 vuoden SSL-varmenteita

Jos olet pyörittänyt verkkopalveluita jo muutaman vuoden, olet varmasti tottunut siihen, että SSL-varmenteet pitää uusia kolmen kuukauden välein. Se on rutiinia, joka toistuu säännöllisesti.

Mutta teknisesti on mahdollista hankkia varmenne, joka on voimassa jopa 15 vuotta. Teknologia on jo olemassa, eikä se ole mikään kielletty temppu. Silti lähes kukaan ei käytä tätä vaihtoehtoa tuotannossa. Miksi näin on?

Pitkäikäiset varmenteet ovat todellinen vaihtoehto

Tietyt varmentajatahot, erityisesti Cloudflare-ympäristössä, mahdollistavat Origin Certificate -varmenteiden luomisen jopa 15 vuodeksi. Tämä ei ole teoreettinen kuriositeetti, vaan käytännössä saatavilla oleva työkalu.

Miksi 90 päivän malli voitti

Alan suuntaus on jo pitkään ollut kohti lyhyempiä varmennekausia. Syyt ovat selkeät:

Turvallisuus paranee. Jos varmentajan yksityinen avain katoaa vääriin käsiin, lyhyempi voimassaoloaika rajoittaa vahinkoa. Pitkä varmenne tarkoittaa pitkää altistumisaikaa.

Avainten vaihto on helpompaa. Nykyaikainen infrastruktuuri hyötyy säännöllisestä avainten vaihtamisesta. 15 vuoden välein on vaikeampi pitää yllä kurinalaista prosessia kuin 90 päivän välein.

Automaatio muutti pelin. Let's Encrypt toi mukanaan ilmaisen ja automatisoidun varmenteiden hallinnan. Kun uusiminen hoituu koneellisesti, manuaalisen työn vähentämiseen tähtäävä argumentti menetti merkityksensä.

Automaation merkitys

Tämä on asian ydin. Jos varmenteiden hallinta on automatisoitu kunnolla, 15 vuoden voimassaolo ei oikeastaan tuo merkittävää hyötyä. Jos automaatio puuttuu, ongelma on suurempi kuin varmenteen pituus.

Lyhyet varmennekaudet pakottavat ylläpitämään automaatiota. Ne toimivat ikään kuin sisäänrakennettuna muistutuksena siitä, että infrastruktuuri pitää pitää kunnossa.

Näkyvyyden ja hallinnan ongelma

Jotkut alustat osaavat valita automaattisesti sopivan varmenteen tyypin ja validointitavan. Teoriassa tämä voisi tehdä pitkistä varmenteista yhtä huolettomia kuin lyhyistä.

Käytännössä kehittäjät haluavat kuitenkin nähdä, milloin varmenteet vaihtuvat. Se on kontrollipiste, jossa varmistetaan, että automaatio toimii. 15 vuoden tauolla tarkistukset jäävät tekemättä.

Milloin pitkä varmenne voi olla järkevä

Tietyissä tilanteissa pidemmällä voimassaoloajalla on etunsa:

• Sisäiset palvelut, jotka ovat Cloudflaren takana
• Kehitys- ja testausympäristöt
• Sulautetut järjestelmät, joita ei päivitetä usein
• Varmuuskopiot ja katastrofipalautus

Toiminnallinen todellisuus

Vaikka 15 vuoden varmenne olisi käytössä, valvonta- ja hälytysjärjestelmien pitäisi silti seurata varmenteiden tilaa. CI/CD-putkien täytyy testata uusimista, ja dokumentaation pitää kertoa, miten varmenteita hallitaan.

Pitkän varmenteen käyttö ei ratkaise operatiivista ongelmaa – se siirtää sen vain myöhemmäksi.

Mitä tästä kannattaa oppia

SSL-ekosysteemi on optimoitu automaation ja nopeuden ympärille syystä. 90 päivän sykli ei ole rajoitus, vaan käytäntö, joka pitää infrastruktuurin kunnossa.

Jos haluat helpottaa varmenteiden hallintaa, panosta automaatioon, valvontaan, palautussuunnitteluun ja dokumentaatioon. Pitkä varmenne ei korvaa näitä.

Cloudflaren rooli

Cloudflare-käyttäjille on tarjolla mahdollisuus luoda pidempikestoisia Origin Certificate -varmenteita. Vaihtoehto on olemassa, mutta tuotantoympäristöissä harva näkee siinä hyötyä.

Yhteenveto

Se, että 15 vuoden varmenteet ovat mahdollisia mutta harvoin käytettyjä, kertoo alan kehityksestä. 90 päivän malli on pakottanut meidät parempiin käytäntöihin. Joskus paras ominaisuus on se, joka ohjaa kohti parempaa toimintaa – ei se, joka lupaa vähemmän työtä.

Pidä automaatio kunnossa. Se ratkaisee enemmän kuin varmenteen pituus.