Thông báo thay đổi lộ trình và thời hạn dịch vụ chứng chỉ SSL

Kể từ hôm nay 15/3/2026, chứng chỉ SSL/TLS mới được cấp chỉ còn tối đa 200 ngày thay vì 398 ngày như trước. Đây là giai đoạn đầu tiên trong lộ trình rút ngắn thời hạn SSL mà CA/Browser Forum đã thông qua từ tháng 4/2025 với Ballot SC-081v3, được cả 4 trình duyệt lớn Apple, Google, Mozilla và Microsoft bỏ phiếu đồng ý.

Lộ trình cụ thể như sau. Trước 15/3/2026 thì cert có thời hạn tối đa 398 ngày. Từ 15/3/2026 giảm còn 200 ngày. Từ 15/3/2027 giảm tiếp còn 100 ngày. Và từ 15/3/2029 chỉ còn 47 ngày. Song song đó, thời gian tái sử dụng kết quả xác thực domain (DCV reuse) cũng giảm theo cùng lộ trình, đến 2029 chỉ còn 10 ngày, nghĩa là gần như phải xác thực lại domain mỗi tuần.

Mục đích của việc rút ngắn này là giảm thiểu rủi ro khi private key bị lộ, buộc hệ sinh thái PKI phải cập nhật nhanh hơn và cũng là bước chuẩn bị cho thời kỳ post-quantum cryptography. Cert sống càng ngắn thì cửa sổ tấn công càng nhỏ.

Với anh em quản trị hệ thống, điều này có nghĩa là việc cài cert thủ công sẽ sớm không còn khả thi. Một doanh nghiệp có vài trăm server mà cứ 45 ngày phải renew và deploy lại cert một lần thì không ông SE nào làm tay nổi. Tự động hoá quy trình quản lý chứng chỉ (Certificate Lifecycle Management) giờ không còn là nice-to-have mà là bắt buộc.

Cert nào đã cấp trước mốc 15/3/2026 thì vẫn giữ nguyên thời hạn cũ cho đến khi hết hạn tự nhiên, không bị ảnh hưởng. Chỉ cert mới cấp từ hôm nay trở đi mới áp dụng giới hạn 200 ngày.

Anh em nào cần hỗ trợ triển khai automation cho SSL thì inbox TND nhé.