- Let’s Encrypt запустил новую иерархию сертификатов «Поколение Y» с двумя корневыми и шестью промежуточными центрами сертификации.
- Сокращается срок действия сертификатов: к 2028 году он составит 45 дней, что повысит безопасность и скорость обновлений.
- Планируется отказ от аутентификации клиента TLS с февраля 2026 года, классический профиль ACME перейдёт на новую иерархию к маю 2026-го.
Организация Let’s Encrypt объявила о значимых изменениях в своей инфраструктуре цифровых сертификатов, нацеленных на повышение безопасности и удобства пользователей. В числе нововведений — запуск новой иерархии сертификатов под названием «Поколение Y», включающей два корневых центра сертификации и шесть промежуточных. Эти новые удостоверяющие центры дополнительно подписаны существующими корневыми сертификатами поколения X (X1 и X2), что обеспечивает сохранение существующего уровня доверия.
Важным шагом является планируемый отказ от поддержки аутентификации клиента TLS, который вступит в силу с февраля 2026 года. По умолчанию классический профиль ACME переключится на новую иерархию без аутентификации клиента 13 мая 2026 года. Тем, кому необходимо больше времени, будет разрешено использовать профиль tlsclient до мая 2026 года — он останется привязан к корневым сертификатам поколения X.
Let’s Encrypt также намерен сократить срок действия SSL/TLS-сертификатов в соответствии с требованиями CA/Browser Forum. В будущем году стартует добровольный этап, когда тестировщики смогут выбирать сертификаты длиной 45 дней через профиль tlsserver. В 2027 году при включении по умолчанию срок уменьшится до 64 дней, а к 2028 году — до 45 дней. Такая политика значительно повысит уровень безопасности: сократится окно для потенциальных атак, ускорится внедрение обновлений криптографии и снизятся последствия возможных нарушений при выдаче сертификатов.
Еще одним важным изменением, уже реализованным в уходящем году, стала остановка работы OCSP-респондеров для конечных сертификатов. Let’s Encrypt отказался от включения адресов OCSP в новые сертификаты, применяя вместо этого списки отзыва (CRL) и «сверхкороткие» сертификаты без информации о проверке статуса. Это позволяет упростить инфраструктуру и повысить конфиденциальность пользователей.
Организация также отметила своё десятилетие, публикуя впечатляющую статистику: от миллиона сертификатов в 2016 году до миллиардного сертификата в 2020-м и почти десяти миллионов выдаваемых в день на конец 2025-го. В скором времени количество активных сайтов с сертификатами Let’s Encrypt может достичь миллиарда.
Таким образом, Let’s Encrypt продолжает активно развивать и обновлять свою инфраструктуру, учитывая потребности безопасности и удобства пользователей, а также современные тенденции в области шифрования и удостоверяющих технологий.
