Удостоверяющий центр (УЦ) Let's Encrypt сообщает, что начат процесс поэтапного уменьшения срока действия (интервала валидности) TLS-сертификатов, которые выпускает этот УЦ. Максимальный срок действия будет сокращён с 90 дней, как сейчас, до 45 дней к 2028 году. Причина заявлена типовая: уменьшение срока действия – уменьшает доступный интервал для атак со скомпрометированным сертификатом (тут надо отметить, что на подобный случай, вообще-то, предусмотрен механизм отзыва сертификатов, но в вебе он, фактически, не работает).

Запланированы следующие шаги:

13 мая 2026 года – Let's Encrypt переключит ACME-профиль tlsserver на выпуск сертификатов, действующих 45 дней. Этот профиль можно использовать для тестирования на стороне клиента;

10 февраля 2027 года – для ACME-профиля по умолчанию начнут выпускаться сертификаты на 64 дня. Это уже коснётся всех обычных клиентов, использующих данный УЦ через типовой вариант ACME;

16 февраля 2028 года – произойдёт переключение профиля по умолчанию на сертификаты, дествующие 45 дней.

Таким образом, уже через два с небольшим года максимальный срок действия сертификата составит 45 дней. Скорее всего, к этому моменту и у других УЦ произойдёт сокращение макисмального интервала валидности выпускаемых оконечных сертификатов, а браузеры перестанут принимать "слишком долгие" сертификаты. Тенденция к сокращению срока действия – общая, а тот же Let's Encrypt уже внедряет шестидневные сертификаты. Нельзя исключать, что процесс ускорится, и доступный срок действия сократят ещё быстрее, не дожидаясь 2028 года. Хотя, 2028 – уже скоро.

Все эти изменения нужно учитывать, если у вас настроены жёсткие периоды обновления TLS-сертификатов: например, период 60 дней перестанет быть верным уже в следующем году. Потому что если срок действия сертификата даже 64 дня, то «зазор» всего в четыре дня – это маловато. Что уж говорить про 45 дней.

Попутно планируют провести ещё два значимых изменения. Первое – уменьшение интервала авторизации ACME-доступа УЦ для данного доменного имени. Это интервал, в течение которого могут быть повторно выпущены сертификаты для имени, право управления которым было подтверждено ранее. Сейчас этот срок у Let's Encrypt 30 дней. К 2028 – планируют сократить до семи часов.

Второе изменение – внедрение нового способа проверки права управления через TXT-запись. Речь про так называемый вариант DNS-PERSIST-01, в котором TXT-запись подтверждает управление именем не в привязке к некоторому токену, уникальному для каждого заказа сертификата, а в привязке к аккаунту в системе УЦ. То есть, если исходный смысл валидации по TXT-записи состоял в привязке права вносить записи в DNS-зону к открытому ключу из запроса сертификата (CSR), а потом это заменили на привязку к ACME-токену, то теперь отменяются и токены, а прописываться будет долговременный ACME-аккаунт, которому разрешено выпускать сертификаты. Для доступа к ACME-аккаунту – нужно знать секретный ключ, но этот ключ не имеет отношения к ключам в выпускаемых сертификатах.