Let's Encrypt сокращает срок действия сертификатов до 45 дней

Изменения в политике Let's Encrypt: сокращение срока действия сертификатов до 45 дней

По данным Let's Encrypt, бесплатная система выдачи TLS-сертификатов начнёт поэтапно сокращать срок их действия. В 2028 году максимальный срок действия сертификатов уменьшится с 90 до 45 дней. Это решение направлено на повышение общей безопасности интернета и соответствует рекомендациям CA/Browser Forum.

Сокращение срока действия сертификатов позволит снизить риски, связанные с утечкой или компрометацией ключей. Параллельно будет изменён и срок действия авторизации домена — с 30 дней до 7 часов.

Переходные этапы:

• С 13 мая 2026 года: для пользователей, применяющих конфигурацию tlsserver, сертификаты будут выдаваться сроком на 45 дней.
• С 10 февраля 2027 года: в конфигурации classic срок действия сертификатов сократится до 64 дней, а период повторного использования авторизации — до 10 дней.
• С 16 февраля 2028 года: срок действия сертификатов и авторизации станет 45 дней и 7 часов соответственно.

Пользователи с автоматизированным управлением сертификатами, как правило, не столкнутся с необходимостью вносить изменения. Однако, по рекомендации Let's Encrypt, стоит убедиться, что используемый ACME-клиент способен обрабатывать более частые обновления. В качестве решения предлагается использовать механизм ACME Renewal Information (ARI), который позволяет клиентам автоматически определять оптимальное время для обновления сертификатов.

Новый метод проверки домена — DNS-PERSIST-01

Для упрощения автоматизации и сокращения нагрузки на DNS-инфраструктуру Let's Encrypt разрабатывает новый метод проверки владения доменом — DNS-PERSIST-01. В отличие от текущих подходов, таких как DNS-01, HTTP-01 и TLS-ALPN-01, новый метод позволяет разместить TXT-запись один раз и использовать её для всех последующих обновлений. Это снижает технические сложности и повышает надёжность процесса. Внедрение DNS-PERSIST-01 запланировано на 2026 год.

Интересно: Как адаптируются системы автоматического обновления сертификатов к новым требованиям, и насколько это повлияет на операционные издержки компаний, использующих Let's Encrypt для масштабных инфраструктур?

Когда безопасность требует скорости: что значит сокращение срока действия сертификатов Let's Encrypt

Баланс между стабильностью и уязвимостью

Let's Encrypt объявляет о планах сократить срок действия TLS-сертификатов с 90 до 45 дней к 2028 году. На первый взгляд, это кажется незначительной технической деталью, но на деле — это важный шаг в эволюции интернет-безопасности. Сертификаты, как и деньги, имеют срок годности. Чем он короче, тем меньше времени у злоумышленников, чтобы воспользоваться украденным ключом. В мире, где атаки становятся всё более точными и масштабными, сокращение срока действия — это профилактика, а не паника.

Однако, в этой мере есть и скрытые сложности. Для компаний, особенно тех, у которых нет полностью автоматизированного управления сертификатами, это может стать дополнительной нагрузкой. Если обновления происходят вручную, то сокращение срока действия может привести к увеличению числа просроченных сертификатов и, как следствие, к сбоям доступа. Особенно это касается средних и малых организаций, где ИТ-инфраструктура не настроена на высокую степень автоматизации.

Важный нюанс: Сокращение срока действия сертификатов — это не просто техническое обновление, а стратегический шаг, направленный на снижение рисков, связанных с компрометацией ключей. Однако оно требует пересмотра подходов к автоматизации и мониторингу, особенно для тех, кто не использует современные ACME-клиенты.

i

Создано специально для ASECTOR

Концептуальное изображение

Кто выигрывает, а кто теряет?

Сокращение срока действия сертификатов выгодно всем, кто заинтересован в повышении уровня безопасности интернета. Это укрепляет доверие к цифровым сервисам, особенно в условиях роста атак с использованием дипфейков и фишинга. Однако есть и те, кто может столкнуться с дополнительными трудностями. Это, например, хостинг-провайдеры, которые обслуживают клиентов с ручной настройкой сертификатов, или компании, где автоматизация не доведена до автоматического обновления.

Также стоит обратить внимание на то, что переход на новые методы проверки домена, такие как DNS-PERSIST-01, может снизить нагрузку на DNS-инфраструктуру. Это особенно важно для крупных систем, где частые обновления TXT-записей могут вызывать коллизии и задержки. Новый метод позволяет разместить запись один раз и использовать её для всех последующих проверок, что упрощает управление и повышает надёжность.

Важный нюанс: Внедрение DNS-PERSIST-01 может стать ключевым фактором в снижении операционных издержек для компаний с масштабной инфраструктурой, особенно тех, где автоматизация управления сертификатами ещё не доведена до автоматического уровня.

Что это значит для российского бизнеса?

Для российских компаний, особенно тех, кто активно использует Let's Encrypt для масштабных веб-проектов, эти изменения требуют внимательного подхода. Автоматизация управления сертификатами станет не просто удобным, а необходимым элементом ИТ-политики. В противном случае риски сбоя в работе сервисов возрастут.

Особое внимание стоит уделить проверке ACME-клиентов на совместимость с новыми сроками действия и методами проверки домена. В идеале, чтобы система могла сама определять оптимальное время обновления сертификатов. Это снизит нагрузку на ИТ-персонал и сократит вероятность сбоев.

Также важно учитывать, что изменения в политике Let's Encrypt могут повлиять на выбор альтернативных решений. Если автоматизация недоступна, компании могут рассмотреть использование коммерческих провайдеров, где сроки действия сертификатов дольше, но стоимость выше. Это, в свою очередь, может повлиять на бюджеты ИТ-отделов.

Важный нюанс: Для российского бизнеса переход на более частое обновление сертификатов может стать катализатором для повышения уровня автоматизации ИТ-процессов, что в долгосрочной перспективе укрепит надёжность и безопасность цифровых сервисов.