Let's Encrypt bude vydávať certifikáty iba na 45 dní

Značky: SSL / TLSweb

DSL.sk, 3.12.2025

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, postupne skráti platnosť svojich certfikátov z 90 iba na 45 dní.

Služba o tom informuje v tomto oznámení.

Let's Encrypt podobne ako iné certifikačné autority musí skrátiť platnosť certifikátov, keď konzorcium CA/Browser Forum združujúce certifikačné autority a tvorcov prehliadačov tento rok schválilo postupné skrátenie ich maximálnej platnosti z 398 dní na 47 dní. Takáto maximálna doba platnosti začne platiť od 15. marca 2029.

Let's Encrypt prejde teda na o niečo kratšiu platnosť 45 dní a spraví tak zároveň v skorších termínoch, ako boli schválené.

Podľa oznámenia od 13. mája 2026 začne ponúkať 45-dňové certifikáty voliteľne. Následne od 10. februára 2027 skráti štandardne vydávané certifikáty z 90 dní na 64 dní. Od 16. februára 2028 ich skráti definitívne na 45 dní.

Let's Encrypt začala tento rok voliteľne podporovať aj iba 6-dňové certifikáty. Tie zostávajú voliteľné a budú podporované aj naďalej.

Skrátenie platnosti certifikátov na 47 respektíve 45 dní výrazne podporí automatizáciu obnovy certifikátov, čo by okrem iného malo eliminovať incidenty s exspirovanými certifikátmi kvôli včas neuskutočnenej manuálnej výmene.

Let's Encrypt s touto zmenou plánuje zjednodušiť vydávanie certifikátov podporovaním novej metódy DNS-PERSIST-01, ktorá umožňuje overovať vlastníctvo domény trvalým záznamom v DNS. Súčasná metóda využívajúca DNS vyžaduje použitie vždy nového DNS záznamu, nástroj pre automatickú výmenu certifikátov tak musí mať práva meniť DNS. Let's Encrypt plánuje pridať podporu metódy DNS-PERSIST-01 v budúcom roku.


Najnovšie články:



Diskusia:

Ten DNS PERSIST mi pomoze Od reg.: Lars Schotte | Pridané: 3.12.2025 15:23 Ten DNS persist mi strašne pomôže, lebo momentálne je moja metóda, že dáva nové zápisy a potom čaká, že sa to rozšíri do DNS záznamov, medzitým musí samozrejme podpísať DNSSEC + pushnúť to do DNS serverov, a tie to mosá prebrať. Niekedy to ale nestihnú a preto som tam napakoval sleep timer, kerý čaká pár sekúnd, aby mu dal čas. To je samozrejme hovadina jak bulo. Človek by to mohol testovať sám cez `dig @dnsserver záznam` a potom kukať, či je záznam správny pri každom DNS serveri, ale to tiež netrvá kratšie (jedine že by to človek paralelizoval - čo je v Pythone ale zas blbé). Takže já som rád, nech to dajú čo naskór, aspoň si ušetrím tie DNS hooky. Odpovedať Známka: 0.0 Hodnotiť:

Re: Ten DNS PERSIST mi pomoze Od: arch_bastard | Pridané: 3.12.2025 15:46 Prvy krat pocujem o DNS-PERSIST-01 a tiez by to asi vyriesilo problem s tym ze ak clovek ma rozbehany geoblocking tak musi mat DNS challange kedze servery zo sveta sa nedostanu na tvoj host. Ale podbora pre automaticke riesenia je pre cloudflare a ine velke a nie pre slovenske ako websupport... Hodit rucne DNS zaznam na nepodborovane dns a mat wildcard co netreba riesit znie super. Odpovedať Známka: 3.3 Hodnotiť:

Re: Ten DNS PERSIST mi pomoze Od reg.: Lars Schotte | Pridané: 3.12.2025 22:15 Ja pouzivam prave preto ten dns challenge, lebo inak wildcard nedostanes. Odpovedať Hodnotiť:

Re: Ten DNS PERSIST mi pomoze Od: Hhh | Pridané: 3.12.2025 23:02 Python 3.14 by už mal multithreading zvládať dobre :) Odpovedať Hodnotiť:

updaty Od: cvk | Pridané: 3.12.2025 16:11 Ak tomu spravne rozumiem, toto si musia aktualizovat aj prehliadace. Ak maju neaktualne certifikaty, tak na predmetne weby sa nebude dat dostat, alebo budu vyhadzovat hlasku ze su nezabezpecene. Niektore OS aktualizuju certifikaty cez updaty, nerobi si to prehliadac sam na pozadi, takze uzivatel bude musiet aktualizvovat system podchvilou. Ak to takto pojde dalej, tak budu certifikaty platit v radoch hodin. Odpovedať Známka: -6.4 Hodnotiť:

Re: updaty Od: lolecc | Pridané: 3.12.2025 17:15 Nerozumies tomu spravne Odpovedať Známka: 4.0 Hodnotiť:

Re: updaty Od: cvk | Pridané: 3.12.2025 17:25 Budem rad ak mi to vysvetlis Odpovedať Známka: 10.0 Hodnotiť:

Re: updaty Od: Hroch_asdf | Pridané: 3.12.2025 17:27 Aby ti browser vedel overit pravost webu, potrebuje mat stiahnuty certifikat a vediet ho overit voci zoznamu certifikacnych autorit. Samotny certifikat ma vlastne parametre, ako je cas platnosti (zaznamenany aj u cert. autority, ktora ho vydala). Ty si mozes vytvorit svoj vlastny certifikat s platnostou aka je max mozna, ale musis is nastavit aj vynimky (vlastnu CA), aby browser nenadaval, ze nie je mozne overit vydavatela cert. Odpovedať Známka: 0.0 Hodnotiť:

Re: updaty Od: Majk0 | Pridané: 3.12.2025 17:59 V prehliadačoch máš iba certifikáty certifikačných autorít, tie sú väčšinou platné niekoľko rokov. Certifikáty webov si sťahuješ pri návšteve webu, a prehliadač si ich potom môže cachovať. Odpovedať Známka: 5.0 Hodnotiť:

45 dní? Od: sensei-san | Pridané: 4.12.2025 6:48 ... a není to moc Antone Pavloviči? Odpovedať Hodnotiť:

Zas vsetko stoji na DNS Od: brano2 | Pridané: 4.12.2025 7:39 Poznate to, ked "nejde interner", moze za to DNS. Zaujima ma ked sa bude po novom pravidelne editovat, ake zabavky to odladovanie automatizacie prinesie. Odpovedať Známka: -3.3 Hodnotiť:

Re: Zas vsetko stoji na DNS Od: unreg.: Guest | Pridané: 4.12.2025 11:06 Prave naopak. Pravidelne sa to edituje uz dnes. Dnes sa na overenie u Let's Encrypt daju pouzit: DNS-01 - musis vediet zasiahnut podla poziadavky do DNS TXT zaznamu pri kazdej obnove certifikatu HTTP-01 - musis vediet zasiahnut podla poziadavky do webu pri kazdej obnove certifikatu Potom je este specificky TLS-ALPN-01 a kedysi bol TLS-SNI-01. Novy DNS-PERSIST-01 prave odbura nutnost opakovanych zasahov do DNS TXT zaznamov, bude stacit jednorazova zmena. Skutocna otazka znie, ci bude toto overenie umoznovat generovat *. certifikaty ako je to mozne pri DNS-01. Odpovedať Hodnotiť:

overenie cez http Od: OriginalnyKoumakSK | Pridané: 4.12.2025 8:45 ak to nedomrvia a ostane moznost overovania cez subor dostupny na http, tak fajn, vacsina webov tym bude chranenych automaticky nadalej a nech si daju hoci aj jednodnovy. ;) Odpovedať Hodnotiť:

Re: overenie cez http Od: pomocny osvetlovac | Pridané: 4.12.2025 22:45 no lenze napriklad u mna na to treba na firewalle otvorit port 80, aby sa tam LE dostal na kontrolu toho acme suboru... a urcite nedam nejakej sluzbe/skriptu na webserveri pravo hrabat sa mi vo firewalle... takze pre mna je obnova LE certu nechutna zalezitost, co s automatizaciou nema nic spolocne. Odpovedať Hodnotiť:

Pridať komentár