Let's Encrypt, kontrolowany przez społeczność, non-profitowy urząd certyfikacji, który udostępnia bezpłatne certyfikaty każdemu, ogłosił stopniowe skracanie okresu ważności swoich certyfikatów TLS z 90 do 45 dni. 10 lutego 2027 r. ważność certyfikatu zostanie skrócona do 64 dni, a 16 lutego 2028 r. do 45 dni. Opcjonalna opcja 45-dniowego certyfikatu będzie dostępna od 13 maja 2026 r.
Jednocześnie okres autoryzacji będzie stopniowo skracany: 10 lutego 2027 r. zostanie on skrócony z 30 do 10 dni, a 16 lutego 2028 r. z 10 dni do 7 godzin. Okres autoryzacji jest definiowany jako czas po potwierdzeniu uprawnień do domena, w którym certyfikat może zostać wydany bez ponownej weryfikacji. Po tym okresie wymagana jest ponowna weryfikacja.
Powodem skrócenia okresu ważności certyfikatów są nowe wymagania CA/Browser Forum, których muszą przestrzegać dostawcy przeglądarek i urzędy certyfikacji. Podobny skrócony okres ważności zostanie wdrożony przez wszystkie urzędy certyfikacji. CA/Browser Forum wyznaczyło termin zakończenia wdrożenia na marzec 2029 r. i maksymalną ważność certyfikatu na 47 dni. Po marcu 2029 r. przeglądarki będą zwracać błędy „ERR_CERT_VALIDITY_TOO_LONG” podczas przetwarzania nowych certyfikatów o okresie ważności przekraczającym 47 dni.
Zalety przejścia na certyfikaty o krótkim okresie ważności obejmują możliwość skrócenia czasu implementacji nowych algorytmów kryptograficznych w przypadku wykrycia luk w zabezpieczeniach istniejących, a także poprawę bezpieczeństwa. Na przykład, jeśli certyfikat nie zostanie wykryty podczas ataku hakerskiego, certyfikaty o krótkim okresie ważności uniemożliwią atakującym monitorowanie ruchu ofiary przez dłuższy czas lub wykorzystywanie certyfikatów do phishingu. Częstsza weryfikacja własności domeny i krótsze okresy ważności certyfikatów zmniejszą również prawdopodobieństwo, że certyfikat pozostanie ważny po wygaśnięciu zawartych w nim informacji, i zmniejszą ryzyko dystrybucji nieprawidłowo wydanych certyfikatów.
Ze względu na skrócenie okresów ważności certyfikatów, Let's Encrypt zaleca użytkownikom przejście na automatyczne systemy zarządzania certyfikatami zamiast ich ręcznego odnawiania. Użytkownicy korzystający już z systemów zautomatyzowanych powinni upewnić się, że ich narzędzia poprawnie obsługują certyfikaty o skróconych okresach ważności. Aby koordynować terminowe automatyczne odnawianie certyfikatów, administratorzy mogą skorzystać z rozszerzenia protokołu ACME Renewal Information (ARI), które umożliwia im otrzymywanie informacji o wymaganiach dotyczących odnawiania certyfikatów i wybór optymalnego terminu odnowienia. Zaleca się również skonfigurowanie systemu monitorowania w celu wykrywania przypadków, w których certyfikat nie został odnowiony w odpowiednim czasie.
Aby uprościć weryfikację własności domeny, projekt Let's Encrypt planuje wdrożyć nową metodę weryfikacji DNS-PERSIST-01 w 2026 roku. W przeciwieństwie do HTTP-01 i DNS-01, metoda ta nie wymaga każdorazowej aktualizacji informacji ani dostępu klienta ACME do infrastruktury sieciowej lub serwera DNS. W przypadku PERSIST-01 wystarczy jednorazowo dodać określony rekord TXT do DNS ('_validation-persist.example.com. IN TXT("ca.example;" » accounturi=https://ca.example/acct/123")), a klient ACME będzie mógł uwierzytelnić się bez aktualizacji danych DNS.
Źródło: opennet.ru
