Let’s Encrypt pripravuje 6-dňové certifikáty, prestane posielať upozornenia na exspiráciu

Značky: SSL / TLS

DSL.sk, 3.2.2025

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, tento rok uskutoční niekoľko zmien v poskytovaných službách.

Let's Encrypt vydávajúca štandardne 90-dňové certifikáty začne ponúkať certifikáty s platnosťou iba 6 dní. Let's Encrypt plán oznámila v decembri, v januári poskytla bližšie detaily.

6-dňové certifikáty budú k dispozícii iba ako možnosť, Let's Encrypt bude naďalej vydávať aj 90-dňové certifikáty.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa oznámenia ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Let's Encrypt bude vydávať 6-dňové certifikáty aj pre IP adresy, nielen pre domény.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom.

Prvé 6-dňové certifikáty plánuje Let's Encrypt vydať pre seba vo februári, prvým užívateľom ich plánuje sprístupniť okolo apríla a plošne ich chce sprístupniť do konca roka.

Certifikačná autorita oznámila aj ďalšiu pripravovanú zmenu, ukončenie posielania emailových notifikácií upozorňujúcich užívateľov na blížiacu sa exspiráciu ich certifikátov.

Let's Encrypt prestane notifikácie posielať 4. júna 2025. Certifikačná autorita uvádza viac dôvodov ukončenia notifikácií, okrem iného čoraz viac užívateľov má zautomatizovanú výmenu certifikátov a podpora notifikácií predstavuje pre službu náklady a ďalšiu záťaž.


Najnovšie články:



Diskusia:

Ajajaj... Od: kecalek | Pridané: 3.2.2025 11:55 To zase bude plno nefunkčných štátnych webov, lebo certifikáty budú permanentne expirované a neplatné. Odpovedať Známka: 8.8 Hodnotiť:

Re: Ajajaj... Od reg.: lenja | Pridané: 3.2.2025 16:55 Ach jo. Podľa tvojho vyjadrenia by mohli existovať aj permanentne expirované ale platné certifikáty? Odpovedať Hodnotiť:

ultraumiernený prakticizmus Od: syntaxterrorXXX, . Y | Pridané: 3.2.2025 19:54 Šak pri kvantovej komunikácii je certifikát s nejakým externe stanoveným časom exspirácie čistý MITM. Čo má na tom platiť? Veď s takým prifareným rubbishom priekazne poriadne nefunguje ani teleportácia. Odpovedať Známka: -6.7 Hodnotiť:

letsss Od: erferf | Pridané: 3.2.2025 11:58 snad pride cas, ked novy certifikat uz bude neplatny, pre viac bezpecnosti :) Odpovedať Známka: 10.0 Hodnotiť:

Re: letsss Od: 3xo | Pridané: 3.2.2025 13:26 Tak ja som si vybavil novy obciansky a o par dni sa stat postaral o to, ze musim vymenit zas obciansky inak certifikaty nezaktualizujem. Tomu vravim bezpecnost. Odpovedať Známka: 10.0 Hodnotiť:

Nekonečne! Od: sytaxpyco | Pridané: 3.2.2025 12:44 Konečne, notifikácie o exspirácii mohli zrušiť ešte pred nasadením. Odpovedať Známka: 3.3 Hodnotiť:

Určité analógie. Od: Baltazár Kokoschka | Pridané: 3.2.2025 12:56 Kompromitácia kľúča je známa aj po žiarlivostných scénach alebo nadužívaní alkoholických nápojov, keď jeden z partnerov vymení zámok a vyloží veci partnera v igelitových taškách pred dvere. Odpovedať Známka: 5.6 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 3.2.2025 13:15 Takáto inciciatíva vzbudzuje pomerne rozporuplné pocity, nakoľko ak na jednej strane používateľ potrebuje na overenie dôveryhodnosti certifikačnú autoritu, ako môže len tak veriť pofidérnej exspirácii priekazne bez náležitého upozornenia. Odpovedať Známka: -5.0 Hodnotiť:

u nas vo firme Od: Quanti | Pridané: 3.2.2025 13:36 U nas je zakaz pouzivat cokolvek od Let`s Encrypt, kedze sa nas uz nebavi byt v rukach suflikantov. Tato akoze kvazi certifikacna autorita si vymysla somariny bez toho aby o tom niekto vedel. Preto pouzivame vlastny certifikat a je dobre , vsetko slape v pohode. Odpovedať Známka: -6.2 Hodnotiť:

Re: u nas vo firme Od: frfer | Pridané: 3.2.2025 14:22 Ked vlastny certifikat, tak jedine na vlastnej domene. Idealne v style intranet.MojaSuperDuperFirma/rozcestník ... Zeby to bolo kompatibilnejsie a lahsie sa robili a udrzovali taketo standardne veci... </irony> Odpovedať Známka: 6.7 Hodnotiť:

Re: u nas vo firme Od: Ajtaktak | Pridané: 4.2.2025 12:15 Napis podrobnosti odbornik. Takze teraz mate 1 rocne platene certifikaty a mate tak akurat dobry pocit, ze ste vynimocni. Odpovedať Hodnotiť:

Pridať komentár