SSL-sertifikater som varer i 15 år – hvorfor nesten ingen bruker dem

De fleste som jobber med webhosting, er vant til at SSL-sertifikater må fornyes hver 90. dag. Det har blitt en del av den daglige driften. Men det finnes faktisk muligheter for å utstede sertifikater som holder i 15 år. Likevel fortsetter de fleste å holde seg til den korte syklusen. Hvorfor?

Teknologien finnes allerede

Visse sertifikatleverandører, spesielt innen Cloudflare-miljøet, tilbyr Origin Certificates med lang levetid. Dette er ikke en teoretisk mulighet – det er en reell funksjon som kan aktiveres for proxied domener. Likevel er det få som velger denne løsningen i praksis.

Hvorfor ble 90-dagers syklusen standard?

Utviklingen mot kortere gyldighetstid startet for alvor i 2020, da CA/B Forum strammet inn reglene. Bakgrunnen var flere gode argumenter:

Kortere gyldighet reduserer risikoen hvis en privat nøkkel blir kompromittert. En 15-årig gyldighet betyr også 15 år med potensiell sårbarhet. I tillegg blir det enklere å rotere nøkler jevnlig når sertifikatene uansett må byttes ofte.

Automatisering spilte også en stor rolle. Da Let's Encrypt kom med gratis og automatisk utstedelse, forsvant mye av behovet for manuell håndtering av langlivede sertifikater.

Automatisering er nøkkelen

Poenget er at et 15-årig sertifikat ikke løser det grunnleggende problemet. Hvis du ikke har automatisert sertifikathåndtering, har du større utfordringer enn gyldighetstiden. Moderne infrastruktur forventer at sertifikater håndteres automatisk, akkurat som andre ressurser.

Den korte syklusen fungerer nærmest som en påminnelse om å holde systemene oppdaterte.

Usynlig automatisering vs. kontroll

Noen plattformer kan automatisk velge mellom ulike valideringsmetoder og sertifikattyper. I teorien kunne dette gjøre 15-årige sertifikater like enkle å bruke som de korte. Men mange utviklere foretrekker å se sertifikatene rotere. Det gir en mulighet til å verifisere at automatiseringen fungerer som den skal.

Når kan lange sertifikater likevel være nyttige?

Det finnes noen spesifikke tilfeller der lengre gyldighet kan være fordelaktig:

• Interne tjenester bak Cloudflare, der sertifikatet ikke eksponeres mot internett
• Utviklings- og testmiljøer
• Innebygde systemer med begrenset mulighet for oppdateringer
• Reserveløsninger for katastrofehåndtering

Drift og overvåking endres ikke

Selv med lange sertifikater bør du fortsatt ha overvåking og varsling på plass. CI/CD-pipelines bør teste sertifikatoppdateringer, og dokumentasjonen må være oppdatert. Et 15-årig sertifikat flytter bare problemet frem i tid.

Hva betyr dette for deg?

Fokuser heller på solid automatisering, god overvåking og grundig testing. Et langt sertifikat gir ikke bedre drift – det er automatiseringen som teller.

Hvis du bruker Cloudflare, har du muligheten til å velge lengre sertifikater når det passer. Men for produksjonssystemer er den korte syklusen fortsatt det tryggeste valget.

Kort sagt: 90-dagers syklusen er ikke en begrensning, men en funksjon som tvinger oss til bedre praksis.