Let's Encrypt взрослеет: новое поколение сертификатов, сроки жизни короче и прощание со старыми фишками




Привет, гики и все, кто следит за безопасностью в интернете! Let's Encrypt, наш любимый бесплатный источник SSL-сертификатов, сделал несколько серьёзных движений. Похоже, они вступают в новую эру — буквально.

Поколение Y на подходе
Команда запустила свежую иерархию сертификатов под кодовым именем «Поколение Y». Это два новых корневых центра и целых шесть промежуточных. Чтобы всем было спокойно, их перекрестно подписали старые, проверенные корни из «Поколения X». Так что доверие остаётся, а под капотом — всё новенькое. Уже на этой неделе пользователи профилей `tlsserver` и тех, кто тестирует короткоживущие сертификаты, начнут получать «молодые» сертификаты от Gen Y.

Срок годности сертификатов сокращается — и это надолго
Готовьтесь к тому, что сертификаты будут жить всё меньше. Let's Encrypt догоняет тренды и плавно снижает сроки:
* 2026 год (добровольный этап): самые смелые тестеры смогут запросить 45-дневные сертификаты.
* 2027 год (переходный): по умолчанию срок действия упадёт до 64 дней.
* 2028 год (финал): окончательный переход на 45 дней.

Зачем? Всё ради безопасности: меньше «окно» для атак, быстрее внедряются крипто-новинки, и если сертификат вдруг скомпрометируют — последствия будут не такими масштабными.

Чистка архива: что уходит в историю
Let's Encrypt избавляется от всего лишнего:
* TLS-аутентификация клиента (TLS Client Authentication) отправляется на пенсию. С февраля 2026 года её перестанут поддерживать, а 13 мая 2026 года классический профиль ACME переключится на «Поколение Y» уже без этой опции. Кто сильно зависит — успевайте мигрировать, старые корни (Gen X) с профилем `tlsclient` будут работать до мая 2027-го.
* OCSP-респондеры для конечных сертификатов уже отключили в августе. Решение зрело с 2023 года. Теперь в новых сертификатах нет адресов этих респондеров, но списки отзыва (CRL) остались. А самые «сверхкороткие» серты могут вообще не иметь информации о проверке статуса — так задумано.
* Email-уведомления об истечении срока тоже в прошлом. С апреля их больше не рассылают — и правильно: и приватность пользователей выше, и инфраструктура проще.

А ещё у них юбилей!
Let's Encrypt тихо празднует 10 лет и делится крутой статистикой:
* 2016 — выдали миллионный сертификат.
* 2018 — уже выдавали по миллиону в день.
* 2020 — перевалили за миллиард выданных.
* Сейчас (конец 2025) — иногда выдают по 10 миллионов в день.
И их цель на ближайший год — приблизиться к миллиарду активных сайтов, которые используют их сертификаты.

Итог: Let's Encrypt не стоит на месте. Внедряет новые технологии, повышает безопасность, упрощает инфраструктуру и продолжает миссию по шифрованию всего интернета. Следите за обновлениями, особенно если вы админ или разработчик — некоторые изменения потребуют действий с вашей стороны

Подраздел: IT Новости
Раздел: Общение/Трёп

Файлы темы

Последний раз тему редактировал AdRed - 16 Дек 2025, 13:56
Последняя активность в теме: 17 Дек 2025, 07:41