Szabadpingvin | Let's Encrypt: jönnek a 45 napig érvényes tanúsítványok

Let's Encrypt: jönnek a 45 napig érvényes tanúsítványok

A Let’s Encrypt fokozatosan csökkenti a tanúsítványok érvényességi idejét: az eddigi 90 napról 45 napra áll át, az iparági szabályozáshoz és a szigorodó biztonsági elvárásokhoz igazodva.

Miért? Mikor?

Miért? Mikor?

Miért?

A változás hátterében a TLS/SSL tanúsítványok kiadását és használatát szabályzó iparági egyeztető testület a Certification Authority Browser Forum (CA/Browser Forum) szigorú követelményei állnak. Ebben a testületben egyeztetnek a böngészőgyártók (Mozilla, Apple, Google etc.) és a tanúsítvány kibocsátók (Let's Encrypt, DigiCert stb.) a tanúsítványokkal kapcsolatos új irányok kapcsán.

Az elsődleges ok a biztonság: Egy kompromittálódott vagy rosszindulatú fél által kibocsátott tanúsítvány az eddigi 398 napos maximális időtartam helyett majd csak 47 napig képes károkat okozni. Továbbá a tanúsítványok visszahívását nyilvántartó rendszerre (OCSP, CRL) is jelentősen kisebb terhelés hárul a rövidebb időtartamnak hála.

Mikor?

A CA/B Fórum a következő, mindenki által betartandó ütemezést adta meg:

A 2026. március 15. előtt kibocsátott tanúsítványok legfeljebb 398 napig lehetnek érvényesek
A 2026. március 15. és 2027. március 15. közöttiek már csak maximum 200 napig
A 2027. március 15. és 2029. március 15. közöttieknek 100 napig
A 2029. március 15. utániaknak pedig legfeljebb 47 napig

A Let's Encrypt ütemezése ettől eltér, de összhangban van a fentiekkel:

2026. május 13.: A tlsserver ACME profil átállításra kerül 45 napos érvényességi idejű tanúsítványok kibocsátására. Ez nem az alapértelmezett profil, inkább tesztelőknek, korai alkalmazóknak szól.
2027. február 10.: Az alapértelmezett (classic) profil legfeljebb 64 napos érvényességi idejű tanúsítványokat fog kibocsátani, amikhez tartozó domain azonosítást 10 napig lehet felhasználni. Ez mindenkit érint.
2028. február 16.: Az alapértelmezett (classic) profil 45 napos érvényességi idejű tanúsítványokat fog kibocsátani, ugyanakkor az elvégzett azonosítás csak 7 órán át fog működni. Ez is mindenkit érint.

Felmerülhet a kérdés, hogy a Let's Encrypt miért 45 napos és miért nem 47 napos érvényességi időt használ. Erre az egyik válasz, hogy a 47 nap a maximum megengedett érték, ennél rövidebb érvényesség bármikor választható. A másik ok pedig praktikusság: ha valami gond van a tanúsítványmegújítással vagy a rendszer órájával, akkor van 2 napnyi „tartalék” a rendszerben a hiba felhasználók számára láthatatlan módon való javítására.

Hogyan tovább?

Ha az eddigi azonosítás → megújítás → alkalmazás folyamat certbot által vezérelten automatizálva van, és nincs szükség semmilyen kézi beavatkozása, akkor nincs tennivalód. Annyi fog változni, hogy a certbot gyakrabban fogja megújítani a tanúsítvány(oka)t.

Viszont ha ennél komplexebb környezetben dolgozol, ahol a certbot nem férhet hozzá pl. a DNS-hez vagy a szerverekhez, ezért 90 naponta valamit manuálisan meg kell csinálnod, akkor gond lesz.

A jó hír, hogy a CA/Browser Forum és az IETF dolgozik a megoldáson, mely egy új DNS alapú azonosítási megoldás, a DNS-PERSIST-01 lesz. A tervezet a lényege, hogy tartós lesz, elég egyszer igazolnod a domain feletti kontrollt, nem kell azt minden megújításnál módosítani. Ez az azonosítás kerül használatra minden egyes tanúsítvány megújításkor. Természetesen ez azt is jelenti, hogy ha kompromittálódik a DNS szerver, akkor ezen rekordot felhasználva bárki tanúsítványokat adhat ki a nevedben.

Bejelentés: https://letsencrypt.org/2025/12/02/from-90-to-45

Címkék: