Let’s Encrypt сократит срок действия сертификатов до 45 дней к 2028 году

В ближайшие годы Let’s Encrypt сократит срок действия сертификатов с нынешних 90 до 45 дней к 2028 году. Это изменение соответствует новым базовым требованиям CA/Browser Forum, которые применяются ко всем публично доверенным центрам сертификации.

Сокращение срока действия сертификатов призвано ограничить влияние скомпрометированных ключей и повысить эффективность механизмов отзыва сертификатов. Кроме того, период повторного использования авторизации, то есть время, в течение которого можно повторно использовать ранее подтверждённый контроль над доменом, сократится с 30 дней до 7 часов.

Переход будет происходить в несколько этапов, чтобы у пользователей было время адаптироваться. 13 мая 2026 года дополнительный профиль tlsserver ACME начнёт выдавать 45-дневные сертификаты для первых пользователей и для тестирования. 10 февраля 2027 года профиль classic по умолчанию перейдёт на 64-дневные сертификаты и 10-дневный период повторного использования авторизации.

Последний этап наступит 16 февраля 2028 года, когда классический профиль перейдёт на 45-дневные сертификаты с 7-часовым периодом повторного использования. Эти изменения коснутся только новых сертификатов, поэтому при следующем продлении после каждого этапа срок действия будет короче.

Большинству пользователей, которые полагаются на автоматическую выдачу сертификатов, не нужно вносить существенные изменения, но важно убедиться, что существующая автоматизация позволяет сократить срок действия сертификата. Let’s Encrypt рекомендует использовать информацию о продлении ACME, которая помогает клиентам понять, когда нужно продлевать сертификат.

Для систем, которые пока не поддерживают ARI, продление должно происходить примерно на двух третях установленного срока действия сертификата, а не через фиксированные 60-дневные промежутки. Не рекомендуется продлевать сертификаты вручную, так как сокращение срока действия потребует более частых действий. Let’s Encrypt также рекомендует обеспечить мониторинг для своевременного обнаружения сбоев при продлении.

И последнее, но не менее важное. Let’s Encrypt совместно с отраслевыми партнёрами работает над новым типом проверки под названием DNS-PERSIST-01. В отличие от существующих методов, он будет использовать статическую DNS-запись TXT, которую не нужно обновлять при каждом продлении. Такой подход избавляет клиентов ACME от необходимости иметь прямой доступ к DNS-системам, что упрощает автоматизацию. Ожидается, что новый тип проверки станет доступен в 2026 году.

Для получения дополнительной информации см. официальное объявление.

Редактор: AndreyEx