2027 är deadlinen du behöver förbereda dig för redan idag!

Många IT-team känner till att certifikats giltighetstider blir kortare. Få är förberedda på vad det faktiskt innebär i praktiken.

CA/Browser Forum godkände i april 2025 en stegvis minskning av giltighetstiden för publika TLS-certifikat. Från mars 2026 sänktes den maximala giltighetstiden till 200 dagar. Från mars 2027 sänks den igen, ner till 100 dagar. Och från mars 2029 kommer certifikat att ha en maximal giltighetstid på 47 dagar.

Den sista förändringen får mest uppmärksamhet (med all rätt). Men milstolpen på 100 dagar år 2027 är den förändring som behöver fullt fokus nu, eftersom manuell certifikathantering då blir ohållbar. Den som inte anpassar sig riskerar missade förnyelser och i värsta fall kostsamma driftstopp, risker som helt hade kunnat undvikas genom enkel automatisering.

På Dotkeeper arbetar vi med företags domän- och certifikatinfrastruktur. Vi märker att risken är känd hos många. Däremot är det få som insett hur brådskande den är.

Låt oss titta på utgångsläget. Hela 81 % av alla organisationer drabbades av ett certifikatrelaterat avbrott förra året. När ett affärskritiskt system går ner kostar det i snitt mellan 6 000 och 9 000 dollar per minut, och en enskild incident kan i värsta fall landa på 15 miljoner dollar. Vi har sett teknikjättar som SpaceX Starlink drabbas av globala driftstopp, och Microsoft Teams tappa användare till konkurrenter, allt på grund av ett enda bortglömt certifikat.

Det som förändras med kortare giltighetstider är inte bara arbetsbördan, det är felmarginalen. Vi går från ett lugnt, stabilt läge med årliga förnyelser till en snabb cykel av ständig förändring och månatliga uppdateringar. Att hantera det manuellt är helt enkelt inte möjligt i längden.

Dessutom finns det en dold flaskhals som de flesta team förbiser: giltighetstiden för Domain Control Validation (DCV) krymper samtidigt. Tidigare räckte det att validera domänägandeskapet en gång. Den gällde sedan i över ett år. Men CA/Browser Forum håller på att DVC giltighet fönstret också, till endast 10 dagar år 2029. Det innebär att ni inte bara kommer att förnya certifikat oftare, ni kommer dessutom att tvingas bevisa ert ägandeskap på nytt, i princip varje gång.


När valideringen bara gäller i 10 dagar har organisationer inget annat val än att automatisera DCV via sin DNS. Det flyttar bördan från IT-teamet till domäninfrastrukturen. Den goda nyheten är att de flesta DNS-leverantörer på enterprisenivå redan stöder den här typen av automatisering via API:er. Utmaningen ligger i att faktiskt få integrationerna på plats, så att era verktyg för certifikathantering kan uppdatera DNS-poster programmatiskt i realtid.

Det finns fem saker varje organisation borde ta tag i redan nu. Börja med en fullständig inventering av samtliga certifikat ni äger, det går inte att hantera det man inte ser. Kartlägg sedan vilka system och tekniker som är beroende av certifikaten, så att ni vet var en missad förnyelse faktiskt gör ont. Kontrollera vilka av systemen som stöder ACME, det är där automatisering är både viktigast och enklast att komma igång med. Ta fram en utrullningsplan med tydligt ägarskap, tidplaner och prioriteringar, innan nästa deadline tvingar fram beslutet åt er.

Se slutligen automatiseringen som er grund inför post-quantum-eran. Att införa en centraliserad plattform för Certificate Lifecycle Management löser mer än bara dagens utmaning med korta livslängder, det ger er verklig kryptografisk agilitet. Den dag nuvarande krypteringsalgoritmer oundvikligen måste bytas ut mot kvantresistenta alternativ gör automatiseringen att ni kan rotera hela infrastrukturen på ett ögonblick och helt slippa en migreringskris som annars hade sträckt sig över flera år.