Центр сертификации Let's Encrypt объявил о ряде важных обновлений. Они включают новую иерархию сертификатов и план по сокращению их срока действия, а также отказ от аутентификации клиента TLS.
Некоммерческая организация сообщила о создании новой иерархии, получившей название «Поколение Y», которая состоит из двух корневых центров сертификации (ЦС) и шести промежуточных. Эти новые ЦС имеют перекрестную подпись от существующих корневых центров поколения X (X1 и X2), что гарантирует сохранение доверия к ним.
Let's Encrypt также подтвердила, что планируется прекратить поддержку аутентификации клиента TLS начиная с февраля 2026 года, и что классический профиль ACME по умолчанию переключится на иерархию поколения Y без аутентификации клиента 13 мая 2026 года. Тем, кому требуется больше времени после этого срока, разрешат использовать профиль tlsclient до мая 2026 года, поскольку он останется на существующих корневых сертификатах поколения X. В апреле Let's Encrypt прекратил рассылку по электронной почте уведомлений об окончании срока действия SSL/TLS-сертификатов, чтобы повысить конфиденциальность данных пользователей и упростить инфраструктуру.
Ещё одно важное изменение — сокращение срока действия сертификатов. Let's Encrypt будет постепенно сокращать его в соответствии с базовыми требованиями CA/Browser Forum. В следующем году будет этап добровольного включения, когда первые пользователи и тестировщики смогут выбрать 45-дневные сертификаты через профиль tlsserver. В 2027 году при включении по умолчанию срок действия сертификата будет сокращен до 64 дней. Наконец, в 2028 году он снизится до 45 дней. Это повысит безопасность в интернете за счёт уменьшения «окна атак», ускорения внедрения криптографических обновлений и снижения последствий неправомерной выдачи.
В Let's Encrypt сообщили, что пользователи tlsserver и профилей с коротк��м сроком действия начнут получать сертификаты от поколения Y на этой неделе.
Кроме того, организация отмечает 10-летие. В честь этого Let’s Encrypt опубликовала ретроспективный обзор: «В марте 2016 года мы выпустили миллионный сертификат. Всего два года спустя, в сентябре 2018 года, мы выпускали миллион сертификатов ежедневно. В 2020 году мы достигли миллиарда выпущенных сертификатов, а к концу 2025 года иногда выпускаем по десять миллионов сертификатов в день. Сейчас мы движемся к достижению миллиарда активных сайтов, вероятно, в течение следующего года».
В августе Let's Encrypt отключил свои OCSP-респондеры для оконечных сертификатов. Решение избавиться от OCSP приняли ещё в 2023 году. TLS-сертификаты, выпускаемые Let's Encrypt, больше не содержат адреса респондеров OSCP, но в них продолжают использовать списки отзыва (CRL). При этом «сверхкороткие» TLS-сертификаты могут вообще не содержать информации о способе проверки статуса.
