Прощай, спокойный сон сисадмина. Let’s Encrypt намекает, что пора доверить безопасность роботам

Некоммерческий центр Let’s Encrypt объявил о поэтапном сокращении срока действия своих TLS-сертификатов с текущих 90 до 45 дней к 2028 году. Изменения проходят в рамках единых для отрасли Базовых требований CA/Browser Forum, которым должны следовать все публично доверенные центры сертификации. Уменьшение срока жизни сертификатов должно повысить общую безопасность веба, сузив окно для эксплуатации скомпрометированных ключей и упростив использование механизмов отзыва.

Параллельно Let’s Encrypt сокращает срок повторного использования авторизации домена. Сейчас после проверки права на домен центр может выпускать для него сертификаты в течение 30 дней, однако к 2028 году этот период уменьшат до 7 часов. Эти ограничения будут вводиться постепенно и зависят от выбранного ACME-профиля, который задается в клиенте. Дополнительно о профилях и их настройке можно прочитать в отдельной записи Let’s Encrypt об ACME Profiles.

Первый этап начнется 13 мая 2026 года, когда профиль tlsserver станет выдавать сертификаты сроком на 45 дней. Это опциональный профиль для ранних внедрений и тестов. Далее 10 февраля 2027 года классический профиль classic, который используют по умолчанию, перейдет на сертификаты сроком на 64 дня и авторизацию домена с возможностью повторного использования в течение 10 дней. Наконец, 16 февраля 2028 года тот же профиль classic будет окончательно переведен на 45-дневные сертификаты и 7-часовой срок повторного использования авторизации. Отдельный профиль shortlived по-прежнему предназначен для очень короткоживущих сертификатов (около 6 дней).

Большинству пользователей Let’s Encrypt, у которых уже настроено автоматическое получение и продление сертификатов, менять конфигурацию не потребуется. Тем не менее разработчики советуют убедиться, что автоматика корректно работает с более короткими сроками действия. В качестве базового механизма планирования продлений рекомендуется использовать ACME Renewal Information (ARI) - функцию, позволяющую клиентам получать от Let’s Encrypt точные подсказки, когда именно нужно обновить сертификат. Для интеграции ARI в существующие ACME-клиенты опубликовано отдельное руководство.

Если используемый ACME-клиент пока не поддерживает ARI, важно проверить, что расписание продления совместимо с 45-дневным сроком действия. Жестко заданный интервал в 60 дней уже не подойдет. Безопасным вариантом считается обновление примерно на двух третях срока жизни сертификата. Ручное продление, по словам Let’s Encrypt, станет еще менее удобным вариантом, потому что выполнять его придется заметно чаще.

Отдельно Let’s Encrypt рекомендует убедиться, что в инфраструктуре настроен мониторинг, который своевременно предупредит о проблемах с продлением сертификатов. Компания приводит подборку доступных решений на странице с вариантами сервисов мониторинга, которую можно использовать как отправную точку.

Поскольку сокращение сроков жизни и периода повторного использования авторизаций означает более частую проверку прав на домены, Let’s Encrypt вместе с партнерами в CA/Browser Forum и IETF работает над новым типом проверки DNS. Речь идет о методе DNS-PERSIST-01, при котором TXT-запись в DNS, подтверждающая контроль над доменом, не должна меняться при каждом продлении. Администратор сможет один раз создать нужную запись и далее автоматически обновлять сертификаты без постоянного доступа ACME-клиента к DNS-инфраструктуре.

Ожидается, что поддержка DNS-PERSIST-01 появится в 2026 году, что упростит автоматизацию для организаций, которые не готовы предоставлять автоматическим клиентам прямой доступ к своим веб, TLS или DNS-серверам. Кроме того, постоянные DNS-записи снизят зависимость от механизма повторного использования авторизаций - домен будет подтвержден через стабильную TXT-запись без дополнительных действий клиента.

Следить за дальнейшими изменениями Let’s Encrypt предлагает через свою рассылку технических обновлений. Вопросы по внедрению новых сроков и механизмов можно задать на сообществе Let’s Encrypt.