Let's Encrypt, контролирана от общността организация с нестопанска цел за сертифициране, която предоставя безплатни сертификати на всеки, обяви постепенно намаляване на периода на валидност на своите TLS сертификати от 90 на 45 дни. На 10 февруари 2027 г. валидността на сертификата ще бъде намалена на 64 дни, а на 16 февруари 2028 г. - на 45 дни. Опция за 45-дневен сертификат ще стане достъпна на 13 май 2026 г.
Същевременно периодът на оторизация ще бъде постепенно намален: на 10 февруари 2027 г. той ще бъде намален от 30 на 10 дни, а на 16 февруари 2028 г. - от 10 дни на 7 часа. Периодът на оторизация се определя като времето след потвърждаване на вашите права за домейн, през който сертификатът може да бъде издаден без повторна проверка. След този период се изисква нова проверка.
Посочената причина за намаляването на валидността на сертификата са новите изисквания на CA/Browser Forum, които доставчиците на браузъри и CA трябва да спазват. Подобен съкратен период на валидност ще бъде въведен от всички CA. CA/Browser Forum е определил краен срок март 2029 г. за завършване на внедряването и максимална валидност на сертификата от 47 дни. След март 2029 г. браузърите ще връщат грешки „ERR_CERT_VALIDITY_TOO_LONG“ при обработка на нови сертификати с период на валидност над 47 дни.
Предимствата на преминаването към краткосрочни сертификати включват възможността за намаляване на времето, необходимо за внедряване на нови криптографски алгоритми, ако в съществуващите бъдат открити уязвимости, както и подобрена сигурност. Например, ако даден сертификат не бъде открит по време на хакерска атака, краткосрочните сертификати ще попречат на нападателите да наблюдават трафика на жертвата за продължителни периоди или да използват сертификатите за фишинг. По-честата проверка на собствеността на домейна и по-кратките периоди на валидност на сертификата също ще намалят вероятността сертификатът да остане валиден след изтичане на срока на информацията, която съдържа, и ще намалят риска от разпространение на неправилно издадени сертификати.
Поради скъсяването на сроковете на валидност на сертификатите, Let's Encrypt препоръчва на потребителите да преминат към автоматизирани системи за управление на сертификати, вместо да ги подновяват ръчно. Потребителите, които вече използват автоматизирани системи, трябва да се уверят, че техните инструменти правилно поддържат сертификати със съкратени срокове на валидност. За да координират навременното автоматично подновяване на сертификатите, администраторите могат да използват разширението на протокола ACME Renewal Information (ARI), което им позволява да получават информация за изискванията за подновяване на сертификатите и да избират оптималното време за подновяване. Препоръчително е също така да се създаде система за мониторинг, която да открива случаи, в които даден сертификат не е подновен своевременно.
За да се опрости проверката на собствеността на домейна, проектът Let's Encrypt планира да внедри нов метод за проверка DNS-PERSIST-01 през 2026 г. За разлика от HTTP-01 и DNS-01, този метод не изисква актуализиране на информацията всеки път, нито изисква ACME клиентът да има достъп до уеб инфраструктурата или DNS сървъра. С PERSIST-01 е достатъчно просто да се добави конкретен TXT запис към DNS ('_validation-persist.example.com. IN TXT("ca.example;" » accounturi=https://ca.example/acct/123")) веднъж и ACME клиентът ще може да се удостовери, без да актуализира DNS данните.
Източник: opennet.ru
