Некоммерческий центр сертификации Let's Encrypt официально объявил о стратегическом решении поэтапно сократить срок действия своих TLS-сертификатов с нынешних 90 дней до 45 дней. Это изменение соответствует новым требованиям индустрии. В частности, CA/Browser Forum, который устанавливает базовые технические требования для всех публично доверенных центров сертификации, определил, что максимальный срок действия сертификатов не должен превышать 47 дней. Следовательно, все подобные организации будут вынуждены внедрить аналогичные ограничения.
Основная цель этого перехода заключается в повышении общей безопасности интернета. Сокращение времени жизни сертификатов снижает потенциальный ущерб в случае их компрометации. Например, если злоумышленники похитят закрытый ключ, они смогут использовать украденный сертификат для атак типа "человек посередине" или фишинга лишь в течение ограниченного периода. Более того, короткоживущие сертификаты ускоряют внедрение новых криптографических стандартов. В случае обнаружения уязвимости в текущем алгоритме переход на обновлённые сертификаты произойдёт значительно быстрее.
Изменения будут реализованы поэтапно, чтобы минимизировать возможные сбои в работе сервисов. Первым шагом станет запуск опционального профиля "tlsserver" 13 мая 2026 года. Пользователи, которые перейдут на него, начнут получать сертификаты сроком на 45 дней для раннего тестирования. Затем, 10 февраля 2027 года, будет обновлён классический профиль "classic", который использует большинство клиентов. Срок действия сертификатов сократится до 64 дней. Финальный этап намечен на 16 февраля 2028 года, когда в классическом профиле срок окончательно уменьшится до 45 дней.
Параллельно будет сокращён и период повторного использования авторизации. Это время, в течение которого после подтверждения владения доменом можно выпускать новые сертификаты без повторных проверок. Сейчас он составляет 30 дней. К 2028 году этот период уменьшится до 7 часов. Это означает, что для выпуска сертификата после истечения данного срока потребуется заново подтверждать контроль над доменом. Такая мера дополнительно повышает безопасность, снижая риск распространения неправильно выпущенных сертификатов.
Для большинства пользователей, чьи системы настроены на автоматическое обновление сертификатов через ACME-клиенты, изменения пройдут незаметно. Однако администраторам необходимо заранее убедиться, что их инфраструктура готова к более частому обновлению. Критически важно проверить, что автоматизация не использует жёстко заданные интервалы, например, обновление раз в 60 дней, так как этого будет недостаточно для 45-дневных сертификатов.
Let's Encrypt настоятельно рекомендует использовать функцию ACME Renewal Information (ARI). Это расширение протокола ACME, которое помогает клиенту определить оптимальное время для обновления. ARI уведомляет клиента о необходимости продления, что позволяет избежать ситуаций с просроченными сертификатами. Разработчикам клиентов следует интегрировать поддержку ARI, а администраторам - проверить её наличие в используемом ПО. Кроме того, важно настроить системы мониторинга, которые будут оповещать о случаях, когда сертификат не был обновлён вовремя.
Одной из главных технических сложностей при частом обновлении является процедура подтверждения владения доменом. Текущие методы, такие как HTTP-01 или DNS-01, требуют, чтобы ACME-клиент имел прямой доступ к веб-серверу или DNS-зоне для размещения проверочных токенов. Чтобы решить эту проблему, Let's Encrypt совместно с партнёрами работает над стандартизацией нового метода валидации под названием DNS-PERSIST-01. Его ключевое преимущество в том, что специальную TXT-запись в DNS нужно установить только один раз. Впоследствии она не требует изменений при каждом обновлении сертификата. Это значительно упрощает автоматизацию, особенно для сред, где доступ к DNS ограничен. Ожидается, что DNS-PERSIST-01 станет доступен в 2026 году.
Эти изменения являются частью общей тенденции в индустрии кибербезопасности. Укорочение жизненного цикла цифровых сертификатов рассматривается как эффективная мера для быстрого реагирования на угрозы. Пользователям Let's Encrypt рекомендуется следить за официальными анонсами через рассылку технических обновлений и форум сообщества. Своевременная подготовка инфраструктуры к новым требованиям позволит обеспечить бесперебойную и безопасную работу онлайн-сервисов в условиях ужесточающихся стандартов безопасности.
