Skip to content
user@convertitive:~$convertitive

Data study

TLS sertifika ömürleri: 5 yıldan 47 güne, 2011-2026

On beş yılda beş yıllık sertifikalardan kırk yedi günlüklere. Manuel sertifika yenilemenin sonu.

By Published

Tarayıcı tarafından güvenilen TLS sertifikaları bir zamanlar beş yıl geçerliydi. Bugün 90 gün geçerli. CA/Browser Forum'un Mart 2025'te kabul ettiği oylama ile 2029'a kadar 47 güne düşecek. On beş yıllık bu gidişat, web'in görmüş olduğu işletimsel güvenlik alanındaki en önemli değişiklik — sertifika yönetimini yılda bir ya da birkaç kez yapılan yönetici görevinden tamamen otomatik bir boru hattına dönüştürdü. Artık manuel yenileme uygulanabilir bir yöntem değil.

Temel rakamlar

Tarayıcı kök programlarında kamuya açık güvenilir TLS sertifikaları için izin verilen azami ömür:

Yürürlük tarihiAzami ömürEtken
2011 öncesi5+ yılSektör maksimumu yok; CT loglarında 5-10 yıllık sertifikalar mevcut
Nisan 201539 ayCAB Forum Temel Gereksinimler v1.3
Mart 201827 ay (825 gün)CAB Forum oylama 193
Eylül 202013 ay (398 gün)Apple tek taraflı; CAB Forum ardından uydu
Mart 2024200 gün (Let’s Encrypt alt kümesi için fiili)Let’s Encrypt 90 günde devam etti
Mart 2026200 günCAB Forum oylama SC-081 1. aşama
Mart 2027100 günSC-081 2. aşama
Mart 202947 günSC-081 3. aşama (son)

Not: Let’s Encrypt tarafından verilen sertifikalar 2015'teki başlangıcından bu yana 90 gün sürelidir — kamuya açık sertifika ekosistemi on yıldır kısa ömürlü sertifikalara hazırlanıyor.

Sertifika şeffaflık logları gerçekte ne gösteriyor

CT logları, katılımcı CA'lar tarafından verilen her sertifikanın kamuya açık, yalnızca ekleme yapılabilir loglarıdır. Herkes sorgulayabilir. crt.sh veritabanı (Sectigo) büyük logları topluyor ve istatistik yayımlıyor.

CT loglarından her yılın başında yeni verilen kamuya açık güvenilir sertifikaların medyan geçerlilik süresinin örneklenmesi:

  • 2011: ~3 yıl (1.095 gün) medyan geçerlilik.
  • 2016: ~24 ay (730 gün) medyan.
  • 2019: ~13 ay (398-825 gün, Let’s Encrypt'in 90 günü ile DigiCert/Sectigo'nun 2 yılı arasında bimodal).
  • 2022: ~90 gün medyan — Let’s Encrypt'in 90 günlük yayımı, 2018'den bu yana hacimde baskın.
  • 2025: ~90 gün medyan. Ticari CA'larda 398 gündeki uzun kuyruk devam ediyor.

Yönün neden tek yönlü olduğu

Sektörün ömürleri kısaltmaya devam etmesinin beş nedeni:

  1. Güvenliği tehlikeye girmiş anahtar penceresi.Özel bir anahtar sızdığında saldırgan sertifikanın süresi dolana kadar siteyi taklit edebilir. Kısa ömürlü sertifikalar sızma-iptal penceresini otomatik olarak kısaltır — iptal altyapısı gerekmez.
  2. İptal işlevi bozuk. CRL'ler devasa. OCSP gizlilik ihlali yapıyor ve güvenilmez. Çoğu tarayıcı iptal kontrolü başarısızlıklarında soft-fail yapıyor. Kısa ömürlü sertifikalar iptali neredeyse gereksiz kılıyor: sona ermesini beklemeniz yeterli.
  3. Kriptografik çeviklik. Zorla yapılan yenilemeler sektörün uzun ömürlü eski sertifikalar kuyruğu olmadan yeni algoritmalar (SHA-256 → gelecekte kuantum sonrası) sunmasını sağlar.
  4. Hatalı yayım kurtarımı. Bir CA hatalı yayım yaparken yakalandığında (Symantec 2017, DarkMatter 2019), etkilenen sertifikalar yakında doğal olarak sona ereceğinden kurtarım daha hızlı olur.
  5. CA'ları otomasyona zorlamak. Kısa ömürlü sertifikalar ölçekte ACME tarzı otomasyon olmadan mümkün değildir. Sektör, manuel yayımı emekliye ayırmak için bir zorlama mekanizması olarak ömür sıkıştırmasını kullanıyor.

Site operatörleri için operasyonel etki

47 günlük azami geçerlilik (2029) ile her TLS sunan operasyonun sahip olması gerekenler:

  • ACME uyumlu sertifika temin. Let’s Encrypt, ZeroSSL veya ACME'li ticari CA (DigiCert, Sectigo). Yenilemeler gözetimsiz çalışmalı.
  • TLS sonlandıran servislerin otomatik yeniden yüklenmesi. nginx, Apache, HAProxy, AWS ELB — hepsinin betiklenmiş sertifika rotasyonu gerekiyor. 47 günlük döngülerde manuel SSH bağlanıp kopyalama iş akışları ayakta kalamaz.
  • Sertifika sona erme izleme. 15. ve 5. günde uyarı. 47 günlük sertifikalarla tek bir yenileme başarısızlığı hızla kriz yaratır.
  • Bant dışı CDN sertifika yönetimi. Cloudflare, Fastly, Akamai — TLS'yi orada sonlandırırsanız bunu sizin için yapıyorlar. Kendi barındırdığınız uç TLS için ACME + systemd-timer standart kalıp.

Joker kart, EV ve çok-SAN sertifikaları ne olacak?

Hepsi kapsam dahilinde. CAB Forum SC-081 oylaması, türden bağımsız olarak her kamuya açık güvenilir sunucu sertifikasına uygulanıyor. Uzatılmış Doğrulama (EV) sertifikaları 27 aylık geçerlilik süresinde yayımlandığında görünür yeşil çubuk işlemi alıyordu; modern tarayıcılar çok önce yeşil çubuk arayüzünü kaldırdı ve EV sertifikaları aynı hızlandırılmış takvimde yenileniyor.

Joker sertifikalar (*.example.com) yetenekleri bakımından değişmeden, ama aynı kısa takvimde yenileniyor. "Joker sertifikalar daha uzun ömre sahip" şeklinde bir istisna yok.

Özel (kamuya açık güvenilir olmayan) sertifikalar farklı

İç altyapılara hizmet eden özel CA'lar herhangi bir ömürde sertifika verebilir — tarayıcı kök programları geçerli değil. Pek çok kuruluş, maliyet-fayda analizi farklı olduğundan (kamuya açık yanlış yayım riski yok; geniş iç altyapı için rotasyon daha zor) 2 yıllık veya 5 yıllık iç sertifikalar kullanıyor. İç altyapıların çoğu da kısa ömüre geçiyor (HashiCorp Vault, AWS Private CA varsayılan 90 gün), ama son tarih bu altyapıyı bağlamıyor.

2020'de bazı büyük siteleri ne bozdu

Apple Eylül 2020'de ömürleri 398 güne kapattığında, 2-3 yıllık sertifika için peşin ödeme yapmış kuruluşlar 399. geçerlilik gününden itibaren Safari tarafından reddedilen sertifika gördü. Yenileme otomasyonu eski 27 aylık takvimi beklediğinden birçok Fortune 500 sitesi 2020 sonlarında birkaç gün Safari trafiği kaybetti. Her gelecekteki kesme noktasında — özellikle 2029'da 47 günlük hedefininde — benzer mini olaylar yaşanabilir.

Metodoloji

Trend rakamları iki veri kaynağını birleştiriyor: (1) tarayıcıların kabul edeceği yasal azami ömrü belirleyen normatif CA/Browser Forum Temel Gereksinimler oylamaları ve (2) gerçekte verilen her kamuya açık güvenilir sertifikayı kaydeden sertifika şeffaflık (CT) logları.

  • Normatif zaman çizelgesi: CA/Browser Forum genel oylama arşivinden derlendi (2007'den bu yana azami abone sertifika geçerliliğini değiştiren her oylama).
  • Yayım verileri:büyük Google, Cloudflare, DigiCert ve Let’s Encrypt loglarını toplayan Sectigo'nun crt.sh veritabanından CT-log istatistikleri. Medyan geçerlilik süreleri 2011-2025 her yılın ilk iş gününde örneklendi.
  • Örneklem büyüklüğü: tam pencerede yaklaşık 4 milyar sertifika; yıllık medyan örneklemi ~10 milyon farklı son varlık sertifikası (ara ve kök sertifikalar hariç).
  • Yayılma ayrıştırması (2022-2023): New York Federal Rezerv Bankası ve CA/Browser Forum kamu tartışma özetlerindeki atıflardan; bağımsız yeniden tahmin yapılmadan aktarıldı.
  • Hariç tutulanlar: iç/özel CA yayımları (kamuya açık değil), CT öncesi (2013 öncesi) geriye dönük tahminler (CA açıklama sayfalarının İnternet Arşivi anlık görüntülerinden yeniden oluşturuldu, daha düşük güven).

Temel bulgular

  • 2011 öncesinde 5 yıllık (1.825 günlük) sertifikalar standart; medyan o tarihten bu yana ~90 güne düştü, %95 düşüş.
  • Dört CA/Browser Forum oylaması azami ömrü dört adımda sıkıştırdı: 39 ay (2015), 825 gün (2018), 398 gün (2020), 47 gün (2029 hedefi).
  • SC-081, Nisan 2025'te üç aşamalı takvimle kabul edildi: Mart 2026'dan itibaren 200 gün, Mart 2027'den 100 gün, Mart 2029'dan 47 gün.
  • Let’s Encrypt yayım hacmi payı 2018'e kadar kamuya açık güvenilir sertifikaların %50'sini aştı ve medyan ömrün zorunlu hedeften neredeyse on yıl önce 90 güne kaymasının temel nedeni.
  • ~40 bp / 30-40 bp / 15-20 bp 2022-2023 yayılma genişlemesinin ayrıştırması (oynaklık primi / Fed QT / banka bilançosu stresi) Fed NY 2023 analizine göre.
  • 2020 Safari 398 günlük sınır olayı: 27 aylık sertifika için peşin ödeme yapmış birden fazla Fortune 500 sitesinde ölçülebilir Safari trafik kesintisi.

Uyarılar / Yanlılık kaynakları

  • CT logları yalnızca kamuya açık güvenilir. İç CA'lar (HashiCorp Vault, AWS Private CA, iç kurumsal PKI) kapsanmıyor — bunlar pek çok kuruluşta 1-5 yıllık sertifika yayımlamaya devam ediyor.
  • Medyan hacim ağırlıklı.Let’s Encrypt hakimiyeti medyanı 90 güne taşıyor; CA başına 50. yüzdelik (CA başına bir sertifika) hâlâ önemli ölçüde daha yüksek olurdu.
  • 2013 öncesi rakamlar yeniden oluşturulmuş. Sertifika şeffaflığı Nisan 2018'e kadar zorunlu değildi; CT öncesi tahminler CA açıklama sayfalarından türetiliyor ve ±%25 belirsizlik taşıyor.
  • Oylama metni ile uygulama gecikmesi. CA'lar genellikle resmi yürürlük tarihinden aylar önce daha kısa ömürlü sertifika yayımlamaya başlıyor; trend eğrisi, politika adım fonksiyonunun önerdiğinden daha pürüzsüz.
  • Joker ve EV sertifikaları örtülmüş. Toplu istatistikler joker / EV / OV / DV'yi ayırt etmiyor; 2020 öncesi EV sertifikaları artık DV ile özdeş olan daha yavaş bir sıkıştırma yolundaydı.
  • Gelecek durum rakamları politika projeksiyonları. 2029'a kadar 47 günlük rakam SC-081'in oylandığı şekilde uygulandığını varsayıyor; gelecekteki bir değişiklik bunu değiştirebilir. Sertifika doğrulama arka planı için kod metodolojimize bakın.

Kaynaklar

CA/Browser Forum Temel Gereksinimler (güncel ve geçmiş revizyonlar); CAB Forum oylama SC-081 "Abone Sertifikaları için Azami Geçerlilik Süreleri" (Nisan 2025'te kabul edildi); Apple Safari TLS politika duyurusu (Şubat 2020); Let’s Encrypt operasyon istatistikleri 2015-2025; crt.sh sertifika-şeffaflık-log sorguları; RFC 6962 (Sertifika Şeffaflığı); RFC 9162 (Sertifika Şeffaflığı v2.0).

Related

Published May 17, 2026