Let’s Encrypt скоротить терміни дії сертифікатів
Let’s Encrypt скоротить терміни дії сертифікатів
Let’s Encrypt оголосив про плани скоротити терміни дії сертифікатів у найближчі роки. З 90 днів термін дії сертифікатів зменшиться до 45 днів до 2028 року. Це рішення є частиною нових вимог CA/Browser Forum, які стосуються всієї публічно довіреної сертифікаційної інфраструктури.
Причини скорочення термінів дії сертифікатів
Скорочення термінів дії сертифікатів покликане обмежити наслідки компрометації ключів та покращити ефективність механізмів анулювання. У рамках цього нового підходу період повторного використання авторизації зменшиться з 30 днів до 7 годин. Це також має значення для користувачів, оскільки зменшує ризики, пов’язані з недобросовісним використанням сертифікатів.
Етапи впровадження нових термінів дії сертифікатів
Перехід буде реалізований етапами, щоб дати користувачам час на адаптацію. З 13 травня 2026 року, додатковий профіль tlsserver почне видавати 45-денні сертифікати для ранніх учасників та тестування. А з 10 лютого 2027 року, стандартний профіль classic перейде на 64-денні сертифікати та 10-добовий період повторного використання авторизації.
Фінальний крок відбудеться 16 лютого 2028 року, коли профіль classic переходить на 45-денні сертифікати з 7-годинним періодом повторного використання. Ці зміни стосуватимуться лише нових сертифікатів, тому користувачі побачать скорочені терміни дії під час наступного поновлення після кожного етапу.
Адаптація під нові вимоги
Багато користувачів, які покладаються на автоматичне видавання, не повинні вносити значні зміни. Проте важливо перевірити, чи готова існуюча автоматизація працювати з коротшими термінами дії. Let’s Encrypt рекомендує використовувати ACME Renewal Information, яке надає клієнтам вказівки щодо термінів поновлення.
Для налаштувань, які ще не підтримують ARI, поновлення слід здійснювати приблизно за дві третини терміна дії сертифіката. Важливо уникати ручного поновлення, оскільки скорочення термінів дії вимагатиме більш частих дій. Let’s Encrypt також радить впровадити моніторинг для своєчасного виявлення збоїв під час поновлення.
Новий тип перевірки DNS
Let’s Encrypt співпрацює з партнерами галузі над новим типом виклику під назвою DNS-PERSIST-01. На відміну від поточних методів, він використовуватиме статичний DNS TXT запис, який не потрібно оновлювати при кожному поновленні. Це дозволить ACME клієнтам автоматизувати процес без прямого доступу до DNS систем.
Цей новий тип виклику очікується до 2026 року. Для докладнішої інформації про ці зміни, ви можете ознайомитися з офіційним оголошенням.
