Let's Encrypt запустил новую иерархию сертификатов Generation Y

Центр сертификации Let's Encrypt объявил о ряде важных обновлений. Они включают новую иерархию сертификатов и план по сокращению их срока действия, а также отказ от аутентификации клиента TLS.

Некоммерческая организация сообщила о создании новой иерархии, получившей название «Поколение Y», которая состоит из двух корневых центров сертификации (ЦС) и шести промежуточных. Эти новые ЦС имеют перекрестную подпись от существующих корневых центров поколения X (X1 и X2), что гарантирует сохранение доверия к ним.

Let's Encrypt также подтвердила, что планируется прекратить поддержку аутентификации клиента TLS начиная с февраля 2026 года, и что классический профиль ACME по умолчанию переключится на иерархию поколения Y без аутентификации клиента 13 мая 2026 года. Тем, кому требуется больше времени после этого срока, разрешат использовать профиль tlsclient до мая 2026 года, поскольку он останется на существующих корневых сертификатах поколения X. В апреле Let's Encrypt прекратил рассылку по электронной почте уведомлений об окончании срока действия SSL/TLS-сертификатов, чтобы повысить конфиденциальность данных пользователей и упростить инфраструктуру.

Ещё одно важное изменение — сокращение срока действия сертификатов. Let's Encrypt будет постепенно сокращать его в соответствии с базовыми требованиями CA/Browser Forum. В следующем году будет этап добровольного включения, когда первые пользователи и тестировщики смогут выбрать 45-дневные сертификаты через профиль tlsserver. В 2027 году при включении по умолчанию срок действия сертификата будет сокращен до 64 дней. Наконец, в 2028 году он снизится до 45 дней. Это повысит безопасность в интернете за счёт уменьшения «окна атак», ускорения внедрения криптографических обновлений и снижения