Let's Encrypt, en fellesskapskontrollert non-profit sertifikatmyndighet som tilbyr gratis sertifikater til alle, annonserte en gradvis reduksjon i gyldighetsperioden for sine TLS-sertifikater fra 90 til 45 dager. 10. februar 2027 vil sertifikatets gyldighet bli redusert til 64 dager, og 16. februar 2028 til 45 dager. Et valgfritt 45-dagers sertifikatalternativ vil bli tilgjengelig 13. mai 2026.
Samtidig vil autorisasjonsperioden gradvis reduseres: 10. februar 2027 vil den reduseres fra 30 til 10 dager, og 16. februar 2028 fra 10 dager til 7 timer. Autorisasjonsperioden er definert som tiden etter bekreftelse av ens rettigheter til domene, hvor sertifikatet kan utstedes uten ny verifisering. Etter denne perioden kreves ny verifisering.
Årsaken som oppgis for reduksjonen av sertifikatgyldigheten er nye krav fra CA/Browser Forum, som nettleserleverandører og CA-er må overholde. En lignende forkortet gyldighetsperiode vil bli implementert av alle CA-er. CA/Browser Forum har satt en frist for fullføring av implementeringen til mars 2029, og en maksimal sertifikatgyldighet på 47 dager. Etter mars 2029 vil nettlesere returnere feilmeldingen "ERR_CERT_VALIDITY_TOO_LONG" når de behandler nye sertifikater med en gyldighetsperiode som overstiger 47 dager.
Fordelene med å bytte til kortlivede sertifikater inkluderer muligheten til å redusere tiden det tar å implementere nye kryptografiske algoritmer hvis sårbarheter oppdages i eksisterende, samt forbedret sikkerhet. Hvis for eksempel et sertifikat ikke oppdages under et hackingangrep, vil kortlivede sertifikater forhindre angripere i å overvåke offerets trafikk i lengre perioder eller bruke sertifikatene til phishing. Hyppigere verifisering av domeneeierskap og kortere gyldighetsperioder for sertifikater vil også redusere sannsynligheten for at et sertifikat forblir gyldig etter at informasjonen det inneholder utløper, og redusere risikoen for å distribuere feilaktig utstedte sertifikater.
På grunn av forkortingen av sertifikatenes gyldighetsperioder har Let's Encrypt anbefalt at brukere bytter til automatiserte sertifikathåndteringssystemer i stedet for å fornye dem manuelt. Brukere som allerede bruker automatiserte systemer, bør sørge for at verktøyene deres støtter sertifikater med forkortede gyldighetsperioder på riktig måte. For å koordinere rettidig automatisk sertifikatfornyelse kan administratorer bruke ACME Renewal Information (ARI)-protokollutvidelsen, som lar dem motta informasjon om krav til sertifikatfornyelse og velge optimalt fornyelsestidspunkt. Det anbefales også å sette opp et overvåkingssystem for å oppdage tilfeller der et sertifikat ikke har blitt fornyet i tide.
For å forenkle verifisering av domeneeierskap planlegger Let's Encrypt-prosjektet å implementere en ny DNS-PERSIST-01-verifiseringsmetode i 2026. I motsetning til HTTP-01 og DNS-01 krever ikke denne metoden oppdatering av informasjon hver gang, eller at ACME-klienten har tilgang til webinfrastrukturen eller DNS-serveren. Med PERSIST-01 er det tilstrekkelig å bare legge til en spesifikk TXT-post i DNS ('_validation-persist.example.com. IN TXT("ca.example;" » accounturi=https://ca.example/acct/123")) én gang, og ACME-klienten vil kunne autentisere uten å oppdatere DNS-data.
Kilde: opennet.ru
