Let’s Encrypt o dva týždne prestane posielať upozornenia na exspiráciu

Značky: SSL / TLS

DSL.sk, 21.5.2025

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, čoskoro uskutoční pre niektorých užívateľov dôležitú zmenu vo svojej službe.

O dva týždne 4. júna totiž ukončí posielania emailových notifikácií upozorňujúcich užívateľov na blížiacu sa exspiráciu ich certifikátov.

Služba pripravovanú zmenu oznámila už v januári. Odvtedy neinformovala o zmene plánov a k ukončeniu zrejme teda príde v avizovanom termíne.

Certifikačná autorita uvádza viac dôvodov ukončenia notifikácií, okrem iného čoraz viac užívateľov má zautomatizovanú výmenu certifikátov a podpora notifikácií predstavuje pre službu náklady a ďalšiu záťaž.

Tento rok služba zároveň spúšťa čiastočne súvisiacu inú novinku, vydávanie certifikátov s platnosťou iba 6 dní. Zatiaľ Let's Encrypt štandardne vydáva 90-dňové certifikáty.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa skorších informácií ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Let's Encrypt bude vydávať 6-dňové certifikáty aj pre IP adresy, nielen pre domény.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom.

Prvý 6-dňový testovací certifikát pre seba služba vydala už vo februári, prvej malej skupine užívateľov plánuje Let's Encrypt sprístupniť 6-dňové certifikáty v druhom štvrťroku tohto roka a plošne ich chce sprístupniť do konca roka.

6-dňové certifikáty budú k dispozícii zatiaľ iba ako možnosť. 90-dňové certifikáty ale Let's Encrypt v budúcnosti nebude môcť vydávať, keď v apríli bol konzorciom CA/Browser Forum schválený návrh na postupné skrátenie maximálnej platnosti certifikátov pre servery iba na 47 dní.

V súčasnosti môžu certifikáty platiť maximálne 398 dní. Táto maximálna doba sa bude postupne skracovať a od 15. marca 2029 bude môcť maximálna doba platnosti certifikátov dosahovať iba 47 dní.




Najnovšie články:



Diskusia:

;:;,;:' Od: :;!^';^,,;.,"' | Pridané: 21.5.2025 22:28 6-milisekundové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov, najmä ak sa dajú riešiť pomocou predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár