CA/Browser Forum godkendte i marts 2025 et initiativ drevet af Apple og Google der gradvist reducerer den maksimale levetid for offentligt betroede TLS-certifikater. Tidsplanen er klar:
- 2026: Maksimum 200 dage (fra 398 dage)
- 2027: Maksimum 100 dage
- 2029: Maksimum 47 dage
For mange organisationer er dette ikke blot en teknisk ændring — det er en fundamental ændring af den arbejdsbyrde der er forbundet med at vedligeholde TLS-certifikater.
Hvad manuel certifikatstyring faktisk koster i timer
Med en certifikatlevetid på 398 dage fornys et certifikat typisk en gang om året. Med 47 dages levetid fornys det ca. 7-8 gange om året. For organisationer der har 50-200 certifikater og håndterer fornyelse manuelt — eller halvmanuelt via kalendernotater og e-mails — er det en faktor 7-8 stigning i arbejdsbyrden.
Lad os sætte konkrete tal på. Antag at en manuel certifikatfornyelse tager 2 timer samlet: opdagelse at det nærmer sig, koordinering med leverandør eller intern IT, udstedelse, validering, deployment og test. Med 100 certifikater og 398 dages levetid er det:
- 100 fornyelser × 2 timer = 200 timers arbejde om året ved 398 dages levetid
- 100 certifikater × 7,8 fornyelser × 2 timer = 1.560 timers arbejde om året ved 47 dages levetid
Det svarer til mere end ¾ årsværk — udelukkende på certifikatfornyelse.
Tidsplan 2026–2029: Tre år til at omstille jer
Organisationer der venter til 2029 med at tilpasse sig har det sværest. De organisationer der begynder at automatisere nu kan bruge 2026-2029 til gradvist at migrere systemerne til ACME-baseret automatisk fornyelse og opbygge de processer og den governance der er nødvendig for kortere levetider.
Organisationer der begynder i 2029 skal implementere fundamentale ændringer under tidspres — en situation der erfaringsmæssigt fører til fejl og nedetid. Se også den tekniske baggrund for 47-dages reformen for en forklaring af CA/Browser Forums faseplan.
Hvem rammes hårdest
Offentlige organisationer og kommuner er særligt udsatte. Mange har systemer hostet af leverandører der ikke automatisk understøtter ACME. Leverandørdialog, udbud og kontraktjusteringer tager tid. 2026-2029 er en snæver tidshorisont for organisationer med komplekse it-leverandørstrukturer.
Virksomheder med on-premise infrastruktur der ikke kan bruge ACME direkte — interne CA'er, firewall-beskyttede systemer, specialiseret produktionsudstyr — er også udfordrede. Her kræves en intern PKI-strategi snarere end en simpel migration til automatisk fornyelse.
Virksomheder med mange SaaS-leverandører skal holde øje med at leverandørernes certifikater er korrekt styret. Et 47-dages certifikat der udløber hos en forretningskritisk SaaS-leverandør er jeres problem — selvom I ikke ejer certifikatet. Se vores artikel om leverandørcertifikatrisiko for konkrete handlingsanbefalinger.
Tre konkrete ting I bør sætte i gang i 2026
Tre konkrete handlinger er værd at sætte i gang allerede i 2026:
1. Kortlæg alle certifikater og identificer hvilke der kan automatiseres. ACME-kompatibel infrastruktur kan over på automatisk fornyelse relativt hurtigt. Systemer der kræver manuel fornyelse er dem der kræver en plan.
2. Indfør automatisk overvågning af alle certifikater. Med kortere levetider er det umuligt at opdage problemer via kalendernotater. Et centralt monitoringsystem der sporer alle certifikater og varsler ved kritiske tærskler er en forudsætning. Vores guide til opsætning af certifikat-alarm beskriver den anbefalede eskaleringsstrategi.
3. Start dialogen med leverandørerne nu. For systemer hostet af leverandører — fagsystemer, SaaS, kommunale leverandører — er det nødvendigt at forstå om leverandøren understøtter automatisk fornyelse, og hvad tidsplanen for migration er.
Hvad CertControl gør for at håndtere overgangen
De tre handlinger der er beskrevet ovenfor — kortlæg certifikater, indfør automatisk overvågning, start leverandørdialog — er præcis hvad CertControl er bygget til at understøtte:
- Automatisk opdagelse af alle certifikater. CertControl forespørger Certificate Transparency-logs for at finde hvert certifikat nogensinde udstedt til jeres domæner — inklusiv dem der styres af leverandører under jeres domæne og dem ingen internt kendte til. On-premise agenten opdager interne certifikater bag firewall. Resultatet er et komplet register, ikke en manuel liste der er forældet fra dag ét.
- ACME-automatisering der eliminerer den manuelle fornyelsesbyrde. For certifikater der understøtter det håndterer CertControl Let's Encrypt-fornyelse automatisk via HTTP-01 og DNS-01 challenges. En organisation med 100 ACME-kompatible certifikater kræver ikke 1.560 timers manuelt fornyelsesarbejde — det kræver overvågning af at automatiseringen virker.
- Advarsler ved kritiske tærskler der rent faktisk når frem. Advarsler konfigureres per certifikat med tærskler tilpasset fornyelseskompleksiteten — 90 dage til certifikater hos tredjepartsleverandører, kortere for certifikater I kontrollerer direkte. Advarsler routes til navngivne ejere, ikke en fælles postkasse.
- Revisionslog der beviser løbende styring. NIS2 kræver dokumentation for at overvågning var systematisk. CertControl bygger løbende den log som en eventuel tilsynsmyndighed forventer at se — inklusive hvilke certifikater der var overvåget, hvornår advarsler udløste, og hvad der skete.
Ofte stillede spørgsmål
Hvor mange fornyelsestimer skaber 47-dages certifikater?
Ved to timers manuel fornyelse og 100 certifikater koster en 398-dages levetid ca. 200 timer om året. Ved 47 dage kræver samme beholdning omkring 1.560 timer — svarende til mere end ¾ årsværk.
Hvorfor stiger fornyelsesfrekvensen så kraftigt?
Et 398-dages certifikat fornys ca. en gang om året, mens et 47-dages certifikat fornys 7-8 gange om året. Det er en faktor 7-8 stigning i fornyelsesarbejde for hvert certifikat.
Eliminerer automatisering fornyelsesomkostningen helt?
For ACME-kompatible certifikater stort set. Arbejdet skifter fra manuel fornyelse til overvågning af at automatiseringen kørte korrekt. Certifikater der ikke kan bruge ACME kræver stadig en dokumenteret manuel plan og længere advarselsvinduer.
Hvem rammes hårdest af omkostningsstigningen?
Offentlige organisationer og kommuner med leverandører uden ACME-understøttelse, on-premise infrastruktur der ikke kan nå en ekstern CA, og virksomheder med mange SaaS-leverandører hvis certifikater de ikke kontrollerer.
Hvad bør organisationer sætte i gang i 2026?
Kortlæg alle certifikater og marker hvilke der kan automatiseres, indfør central overvågning med tærskeladvarsler på tværs af hele beholdningen, og start leverandørdialogen om ACME-understøttelse og migrationstidsplan.