CA/Browser Forum godkendte i marts 2025 et initiativ drevet af Apple og Google der gradvist reducerer den maksimale levetid for offentligt betroede TLS-certifikater. Tidsplanen er klar:
- 2026: Maksimum 200 dage (fra 398 dage)
- 2027: Maksimum 100 dage
- 2029: Maksimum 47 dage
For mange organisationer er dette ikke blot en teknisk ændring — det er en fundamental ændring af den arbejdsbyrde der er forbundet med at vedligeholde TLS-certifikater.
Hvad det koster ved manuel certifikatstyring
Med en certifikatlevetid på 398 dage fornys et certifikat typisk en gang om året. Med 47 dages levetid fornys det ca. 7-8 gange om året. For organisationer der har 50-200 certifikater og håndterer fornyelse manuelt — eller halvmanuelt via kalendernotater og e-mails — er det en faktor 7-8 stigning i arbejdsbyrden.
Lad os sætte konkrete tal på. Antag at en manuel certifikatfornyelse tager 2 timer samlet: opdagelse at det nærmer sig, koordinering med leverandør eller intern IT, udstedelse, validering, deployment og test. Med 100 certifikater og 398 dages levetid er det:
- 100 fornyelser × 2 timer = 200 timers arbejde om året ved 398 dages levetid
- 100 certifikater × 7,8 fornyelser × 2 timer = 1.560 timers arbejde om året ved 47 dages levetid
Det svarer til mere end ¾ årsværk — udelukkende på certifikatfornyelse.
Transitionsplanen 2026-2029
Organisationer der venter til 2029 med at tilpasse sig har det sværest. De organisationer der begynder at automatisere nu kan bruge 2026-2029 til gradvist at migrere systemerne til ACME-baseret automatisk fornyelse og opbygge de processer og den governance der er nødvendig for kortere levetider.
Organisationer der begynder i 2029 skal implementere fundamentale ændringer under tidspres — en situation der erfaringsmæssigt fører til fejl og nedetid.
Hvem rammes hårdest
Offentlige organisationer og kommuner er særligt udsatte. Mange har systemer hostet af leverandører der ikke automatisk understøtter ACME. Leverandørdialog, udbud og kontraktjusteringer tager tid. 2026-2029 er en snæver tidshorisont for organisationer med komplekse it-leverandørstrukturer.
Virksomheder med on-premise infrastruktur der ikke kan bruge ACME direkte — interne CA'er, firewall-beskyttede systemer, specialiseret produktionsudstyr — er også udfordrede. Her kræves en intern PKI-strategi snarere end en simpel migration til automatisk fornyelse.
Virksomheder med mange SaaS-leverandører skal holde øje med at leverandørernes certifikater er korrekt styret. Et 47-dages certifikat der udløber hos en forretningskritisk SaaS-leverandør er dit problem — selvom du ikke ejer certifikatet.
Hvad der er den rigtige reaktion nu
Tre konkrete handlinger er værd at sætte i gang allerede i 2026:
1. Kortlæg alle certifikater og identificer hvilke der kan automatiseres. ACME-kompatibel infrastruktur kan over på automatisk fornyelse relativt hurtigt. Systemer der kræver manuel fornyelse er dem der kræver en plan.
2. Indfør automatisk overvågning af alle certifikater. Med kortere levetider er det umuligt at opdage problemer via kalendernotater. Et centralt monitoringsystem der sporer alle certifikater og varsler ved kritiske tærskler er en forudsætning.
3. Start dialogen med leverandørerne nu. For systemer hostet af leverandører — fagsystemer, SaaS, kommunale leverandører — er det nødvendigt at forstå om leverandøren understøtter automatisk fornyelse, og hvad tidsplanen for migration er.