В ближайшие годы Lets Encrypt сократит срок действия сертификатов, перейдя с сегодняшнего 90-дневного срока действия на 45 дней к 2028 году. Это изменение соответствует новым базовым требованиям CA/Browser Forum, которые применяются ко всем публично доверенным центрам сертификации.
Сокращение срока действия сертификатов призвано ограничить влияние скомпрометированных ключей и повысить эффективность механизмов отзыва. Одновременно с этим период повторного использования авторизации – окно, в течение которого можно повторно использовать ранее подтвержденный контроль домена, – сократится с 30 дней до всего 7 часов.
Переход будет происходить в несколько этапов, чтобы дать пользователям время на адаптацию. 13 мая 2026 года дополнительный профиль tlsserver ACME начнет выдавать 45-дневные сертификаты для ранних пользователей и тестирования. 10 февраля 2027 года профиль по умолчанию classic перейдет на 64-дневные сертификаты и 10-дневный период повторного использования авторизации.
Последний этап наступит 16 февраля 2028 года, когда классический профиль перейдет на 45-дневные сертификаты с 7-часовым периодом повторного использования. Эти изменения затрагивают только новые сертификаты, поэтому пользователи будут видеть меньший срок действия при следующем обновлении после каждого этапа.
Большинству пользователей, полагающихся на автоматический выпуск сертификатов, не потребуется вносить серьезные изменения, однако проверка того, что существующая автоматика может работать с более коротким сроком действия, необходима. Lets Encrypt рекомендует использовать ACME Renewal Information, которая предоставляет клиентам рекомендации по срокам продления.
Для систем, которые еще не поддерживают ARI, обновление должно происходить примерно на две трети срока действия сертификатов, а не через фиксированные 60-дневные интервалы. Обновлять сертификаты вручную не рекомендуется, поскольку сокращение сроков действия потребует более частых действий. Lets Encrypt также советует обеспечить Мониторинг для своевременного обнаружения сбоев в обновлении.
И наконец, кое-что важное. Lets Encrypt совместно с отраслевыми партнерами работает над новым типом испытаний под названием DNS-PERSIST-01. В отличие от существующих методов, в нем будет использоваться статическая TXT-запись DNS, которую не нужно обновлять при каждом обновлении. Такой подход избавляет клиентов ACME от необходимости иметь прямой доступ к системам DNS, что позволяет расширить и упростить автоматизацию. Ожидается, что новый тип вызова станет доступен в 2026 году.
Для получения дополнительной информации смотрите официальный анонс.
Комментарии (0)