Let's Encrypt: jönnek a 45 napig érvényes tanúsítványok

A Let’s Encrypt fokozatosan csökkenti a tanúsítványok érvényességi idejét: az eddigi 90 napról 45 napra áll át, az iparági szabályozáshoz és a szigorodó biztonsági elvárásokhoz igazodva.​

Miért? Mikor?

Let's Encrypt logó
Let's Encrypt logó

A Let’s Encrypt fokozatosan csökkenti a tanúsítványok érvényességi idejét: az eddigi 90 napról 45 napra áll át, az iparági szabályozáshoz és a szigorodó biztonsági elvárásokhoz igazodva.​

Miért? Mikor?

Miért?

A változás hátterében a TLS/SSL tanúsítványok kiadását és használatát szabályzó iparági egyeztető testület a Certification Authority Browser Forum (CA/Browser Forum) szigorú követelményei állnak. Ebben a testületben egyeztetnek a böngészőgyártók (Mozilla, Apple, Google, etc.) és a tanúsítvány kibocsátók (Let's Encrypt, DigiCert, stb) a tanúsítványokkal kapcsolatos új irányokban.

Az elsődleges ok a biztonság: egy kompromittálódott vagy rosszindulatú fél által kibocsátott tanúsítvány az eddigi 398 napos maximális időtartam helyett majd csak 47 napig képes károkat okozni. Továbbá a tanúsítványok visszahívását nyilvántartó rendszerre (OCSP, CRL) is jelentősen kisebb terhelés hárul a rövidebb időtartamnak hála.

Mikor?

A CA/B Fórum a következő, mindenki által betartandó ütemezést adta meg:

  • 2026 március 15 előtt kibocsátott tanúsítványok legfeljebb 398 napig lehetnek érvényesek
  • 2026 március 15 és 2027 március 15 közöttieknek már csak maximum 200 nap
  • 2027 március 15 és 2029 március 15 közöttieknek 100 nap
  • 2029 március 15 utániaknak pedig legfeljebb 47 nap lehet az érvényességi idejük.

A Let's Encrypt ütemezése ettől eltér, de összhangban van vele:

  • 2026 május 13: a tlsserver ACME profil át lesz állítva 45 napos érvényességi idejű tanúsítványok kibocsátására. Ez nem az alapértelmezett profil, inkább tesztelőknek, korai alkalmazóknak szól.
  • 2027 február 10: az alapértelmezett (classic) profil legfeljebb 64 napos érvényességi idejű tanúsítványokat fog kibocsátani, amikhez tartozó azonosítást 10 napig lehet felhasználni. Ez mindenkit érint.
  • 2028 február 16: az alapértelmezett (classic) profil 45 napos érvényességi idejű tanúsítványokat fog kibocsátani, ugyanakkor az elvégzett azonosítás csak 7 órán át fog működni. Ez is mindenkit érint.

Felmerülhet a kérdés, hogy a Let's Encrypt miért 45 napos és miért nem 47 napos érvényességi időt használ. Erre az egyik válasz, hogy a 47 nap a maximum megengedett érték, ennél rövidebb érvényesség bármikor választható. A másik pedig praktikussági okok: ha valami gond van a tanúsítványmegújítással vagy a rendszer órájával, akkor van 2 napnyi „tartalék” a rendszerben a hiba felhasználók számára láthatatlan módon való javítására.

Hogyan tovább?

Ha az eddigi azonosítás → megújítás → alkalmazás folyamat certbot által vezérelten automatizálva van és nincs szükség semmilyen kézi beavatkozása, akkor nincs tennivalód. Annyi fog változni, hogy a certbot gyakrabban fogja megújítani a tanúsítvány(oka)t.

Viszont ha ennél komplexebb környezetben dolgozol, ahol a certbot nem férhet hozzá pl. a DNS-hez vagy a szerverekhez, ezért 90 naponta valamit manuálisan meg kell csinálnod, akkor gond lesz.

A jó hír, hogy a CA/Browser Forum és az IETF dolgozik a megoldáson, mely egy új DNS alapú azonosítási megoldás, a DNS-PERSIST-01 lesz. A tervezet a lényege, hogy tartós lesz, elég egyszer igazolnod a domain feletti kontrollt, nem kell azt minden megújításnál módosítani. Ez az azonosítás lesz használva minden egyes tanúsítvány megújításkor. Természetesen ez azt is jelenti, hogy ha kompromittálódik a DNS szerver, akkor ezen rekordot felhasználva bárki tanúsítványokat adhat ki a nevedben.

Címkék:
Let's Encrypt tanúsítvány bejelentések