Сначала новость кратко: Let's Encrypt собирается постепенно сократить срок жизни сертификатов с 90 до 45 дней. Это решение знаменует собой очередной этап в эволюции стандартов безопасности веба, в которой, да, изначально всё началось с гораздо более длительных сроков действия сертификатов. Еще в 2015 году сертификаты могли действовать до 5 лет, но по мере роста угроз и появления новых уязвимостей в криптографических алгоритмах индустрия постепенно переходит к более коротким срокам.
Некоммерческий центр Let's Encrypt, выдавший более 3 миллиардов бесплатных сертификатов, объявил поэтапную реформу. С 13 мая 2026 года появится (пока как опция) возможность получения 45-дневных сертификатов. Далее, 10 февраля 2027 года максимальный срок сократится до 64 дней, а к 16 февраля 2028 года — до финальных 45 дней.
...но это не всё!
Главная инновация, по мысли авторов — уменьшение периода авторизации. Если сегодня, подтвердив владение доменом, вы можете получать сертификаты 30 дней без повторных проверок, то с 2027 года этот срок снизится до 10 дней, а с 2028 — до 7 часов. Почему именно 7 часов? Это время, достаточное для автоматического обновления даже в глобальных распределенных системах, но слишком короткое, чтобы злоумышленник, получивший временный доступ к домену, мог полноценно "разгуляться", и причинить много бед.
Инициатор изменений — CA/Browser Forum, объединение разработчиков браузеров и удостоверяющих центров. Их решение: после марта 2029 года браузеры будут отклонять новые сертификаты со сроком больше 47 дней, показывая ошибку ERR_CERT_VALIDITY_TOO_LONG. Старые сертификаты продолжат работать до истечения срока, поскольку это крайне важно для предприятий с тысячами устройств. Но новые выпуски должны соответствовать стандартам.
Зачем все это? Рассмотрим реальный инцидент 2020 года: утечка сертификатов из-за уязвимости в алгоритме SHA-1. Если бы срок действия был короче, злоумышленники не смогли бы использовать их месяцы. Короткоживущие сертификаты — как одноразовые пароли: даже если их украли, ущерб ограничен. По данным исследования Google, сокращение срока с 90 до 45 дней уменьшает «окно атаки» на 65%.
Для администраторов это означает одно: ручное обновление сертификатов, если кто-то им и занимался до сих пор, уходит в прошлое. «Если вы все еще копируете сертификаты через SSH — пора менять подход», — предупреждает команда Let's Encrypt. Решение — автоматизация. Инструменты вроде Certbot и acme.sh, кстати, уже поддерживают расширение ARI (ACME Renewal Information). Оно позволяет серверу сообщать клиенту: "Обновись в ближайшие 12 часов, когда нагрузка минимальна" - что предотвращает перегрузку центра сертификации от многих тысяч серверов в час пик.
Хозяйке на заметку
Практический совет: настройте мониторинг. Вот команда, которая покажет срок действия сертификата:
openssl x509 -enddate -noout -in /path/to/cert.pemДля сertbot достаточно такой cron-задачи:
0 2 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"А для acme.sh, который многие предпочитают за легковесность и гибкость, команда выглядит так:
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/nullНо что если автоматизация сломается? Например, из-за DDoS-атаки на ACME-серверы Let's Encrypt. Для этого нужны резервные каналы: зеркальные ACME-эндпоинты или локальное кеширование. Встроенные системы и IoT-устройства — особая проблема. Многие роутеры и камеры обновляются раз в сто лет, и ходить на них раз месяц с обновлением сертификата никто не станет, так что решением предлагается прокси-архитектура: TLS-терминация на шлюзе, а устройства используют внутренние сертификаты, выпущенные внутренним ЦС.
Революция в авторизации придет с DNS-PERSIST-01 в 2026 году. В отличие от текущих методов HTTP-01 (для которого требует веб-сервер; он, однако, не подходит для получения/продления wildcard-доменов) и DNS-01 (а ему нужен DNS с API), новый подход не требует замены проверочной ДНС-записи при каждой проверки, её нужно будет завести один раз. Например, корректная соответствующая TXT-запись может выглядеть так:
_validation-persist.example.com. IN TXT "authority.example; accounturi=https://ca.example/acct/123"После добавления этой статичной записи ACME-клиенты смогут подтверждать домен без доступа к инфраструктуре. Запись не придётся менять на лету, как сегодня, это спасение для банков и госучреждений, где доступ к DNS регламентирован.
Лучше перебдеть, чем...
Но технологии — лишь половина дела. Человеческий фактор критичен. Маркетологи регистрируют домены для кампаний и забывают их. DevOps‑инженеры настраивают автоматизацию в спешке. Инцидент 2022 года: крупный банк потерял 200 доменов из‑за непродленных сертификатов после слияния компаний. Проверьте сегодня:
Все ли домены в вашем реестре покрыты автоматическим обновлением?
Получают ли администраторы уведомления за 14 дней до истечения срока?
Протестирована ли процедура восстановления при отказе ACME‑сервера?
Staging‑окружение Let's Encrypt (https://acme‑staging‑v02.api.letsencrypt.org) позволяет безопасно проверить сценарии от��аза. Используйте его перед внесением изменений в продакшн.
Почему это важно для обычного пользователя? Короткоживующие сертификаты защищают от фишинга. Если мошенники украдут сертификат банка, они смогут подделать сайт лишь на полтора месяца вместо трех. Это сокращает время на обнаружение атаки и снижает потери жертв.
Переход потребует усилий, но результат того стоит. Как сказал один из основателей Let's Encrypt: «Мы строим не просто защищенный интернет, а устойчивый к человеческим ошибкам». Пусть это и выглядит несколько наивным, но цель в том, чтобы к 2029 году все сайты жили бы по новым правилам — короткие сроки действия, частые проверки, автоматическое обновление. Инфраструктура, созданная для скорости, наконец, научится оперативно реагировать на угрозы. И хотя администраторам придется перестроить процессы, безопасность миллионов пользователей стоит этих хлопот.
Здесь нужно написать в побудительной рекламной стилитика: «Начните действовать уже сегодня!» — как раз будет время обновить certbot или acme.sh до последней версии, настроить мониторинг (если вдруг не) и почитать про ARI. Как говорят апологеты этого изменения, будущее интернета — в автоматизации и ответственности!
А ведь говорили про 47 дней?
Хотя ассоциация CA/Browser Forum предлагала срок в 47 дней, Let's Encrypt решили сокращать срок действия еще больше, до 45. Почему? Я нашел две причины: техническую и психологическую.
Уменьшение сроков в 2 раза (с текущий 90 суток до планируемых 45 суток) удобна самой LE — к��иенты за обновлением продолжат приходить в те же дни, что раньше (а к этому количеству запросов в LE уже готовы), плюс добавятся запросы «между» старыми точками обновлений (это они ожидают выдержить). Вариант с 47 сутками, как ни странно, создаст ненужные «горбы» на графиках числа запросов.
Психологическая причина: 45 дней = ровно половина от исходных 90 дней. Это создает четкое и хорошо запоминаемое правило в голове администраторов: «обновляй сертификат каждые полтора месяца». 47 дней — число, которое сложнее запомнить и планировать.
Удачи нам всем! Хотя март 2029 года кажется таким далеким моментом, времени, как мы знаем из опыта, только‑только хватит, чтобы еще раз пробежаться по своей инфраструктуре, и подготовиться к новым правилам игры.
