Let’s Encrypt, центр сертификации, представляющий общественный интерес, объявил о запуске новой иерархии сертификатов «Поколение Y» и планирует поэтапно сократить срок действия сертификата по умолчанию до 45 дней в течение следующих нескольких лет, чтобы еще больше повысить безопасность зашифрованных интернет-коммуникаций. Эта серия корректировок также включает в себя прекращение поддержки аутентификации клиента TLS и переключение конфигурации ACME по умолчанию на новую иерархию сертификатов.
Let's Encrypt заявил, что новая архитектура поколения Y состоит из двух новых корневых сертификатов (Root CA) и шести новых промежуточных сертификатов (Intermediate CA). Эти новые сертификаты перекрестно подписаны существующими корневыми сертификатами X1 и X2 поколения X, что гарантирует, что новой архитектуре также можно доверять и ее можно использовать в средах, которые в настоящее время доверяют X1/X2. Чиновник также подтвердил, что его аутентификация клиента TLS будет прекращена, начиная с февраля 2026 года. Начиная с 13 мая 2026 года классическая конфигурация ACME по умолчанию будет переведена на уровень, основанный на поколении Y, и больше не будет содержать функцию аутентификации клиента. Для пользователей, которым все еще необходимо перейти, Let’s Encrypt предоставляет конфигурацию tlsclient, которая может продолжать использовать существующие корневые сертификаты поколения X до мая 2026 года.
Что касается срока действия сертификата, Let’s Encrypt будет постепенно сокращать жизненный цикл сертификата в соответствии с базовыми требованиями CA/Browser Forum. Начиная с 2026 года, он вступит в добровольную фазу «проверки воды», и ранние пользователи и тестовые пользователи смогут выбрать сертификат со сроком действия 45 дней через конфигурацию tlsserver. В 2027 году срок действия сертификата по умолчанию будет сокращен до 64 дней, а в 2028 году срок действия сертификата по умолчанию будет сокращен до 45 дней, когда краткосрочные сертификаты станут нормой. Чиновники отметили, что сокращение жизненного цикла сертификата может сузить окно времени атаки, ускорить обновление криптографических алгоритмов и уменьшить долгосрочное влияние таких проблем, как неправильная выдача.
В сообщении сообщества Let’s Encrypt заявили, что пользователи, использующие tlsserver и кратковременные конфигурации, начиная с этой недели будут получать сертификаты, выданные на основе уровня поколения Y. Этот переход также означает, что дополнительные сертификаты с коротким жизненным циклом полностью перешли на стадию «общедоступности» и добавлена поддержка прямого включения IP-адресов в сертификаты, что обеспечивает более гибкий метод развертывания для некоторых сценариев использования. Операторам веб-сайтов и поставщикам услуг, которые полагаются на Let’s Encrypt, в ближайшие несколько лет необходимо будет постепенно адаптироваться к более частому процессу автоматического продления, чтобы гарантировать, что, хотя безопасность будет повышена, стабильность сервиса не пострадает.