В Let's Encrypt приступили к поэтапному уменьшению срока действия сертификатов

Удостоверяющий центр (УЦ) Let's Encrypt сообщает, что начат процесс поэтапного уменьшения срока действия (интервала валидности) TLS-сертификатов, которые выпускает этот УЦ. Максимальный срок действия будет сокращён с 90 дней, как сейчас, до 45 дней к 2028 году. Причина заявлена типовая: уменьшение срока действия – уменьшает доступный интервал для атак со скомпрометированным сертификатом (тут надо отметить, что на подобный случай, вообще-то, предусмотрен механизм отзыва сертификатов, но в вебе он, фактически, не работает).

Запланированы следующие шаги:

13 мая 2026 года – Let's Encrypt переключит ACME-профиль tlsserver на выпуск сертификатов, действующих 45 дней. Этот профиль можно использовать для тестирования на стороне клиента;

10 февраля 2027 года – для ACME-профиля по умолчанию начнут выпускаться сертификаты на 64 дня. Это уже коснётся всех обычных клиентов, использующих данный УЦ через типовой вариант ACME;

16 февраля 2028 года – произойдёт переключение профиля по умолчанию на сертификаты, дествующие 45 дней.

Таким образом, уже через два с небольшим года максимальный срок действия сертификата составит 45 дней. Скорее всего, к этому моменту и у других УЦ произойдёт сокращение макисмального интервала валидности выпускаемых оконечных сертификатов, а браузеры перестанут принимать "слишком долгие" сертификаты. Тенденция к сокращению срока действия – общая, а тот же Let's Encrypt уже внедряет шестидневные сертификаты. Нельзя исключать, что процесс ускорится, и доступный срок действия сократят ещё быстрее, не дожидаясь 2028 года. Хотя, 2028 – уже скоро.

Все эти изменения нужно учитывать, если у вас настроены жёсткие периоды обновления TLS-сертификатов: например, период 60 дней перестанет быть верным уже в следующем году. Потому