Let’s Encrypt začala vydávať iba 6-dňové certifikáty a certifikáty pre IP adresy

Značky: SSL / TLS

DSL.sk, 18.1.2026

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, začala tento týždeň umožňovať všetkým užívateľom získať certifikáty s platnosťou iba 6 dní respektíve presnejšie 160 hodín, teda 6 dní a 16 hodín.

Let's Encrypt o tom informuje v tomto oznámení.

6-dňové certifikáty sú voliteľné a ich zmyslom má byť zvýšenie bezpečnosti. Užívateľ si môže vydanie 6-dňového certifikátu namiesto štandardného 90-dňového zvoliť použitím profilu "shortlived" v ACME klientovi používanom pre získavanie certifikátov.

Let's Encrypt 6-dňové certifikáty vydáva aj pre IP adresy, nielen pre domény.

Plán vydávať voliteľné 6-dňové certifikáty oznámila Let's Encrypt na konci roka 2024, prvý takýto testovací certifikát vydala vo februári minulého roka.

6-dňové certifikáty majú mať lepšiu bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty podľa skorších informácií ani nezahŕňajú OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom. Tento rok sa má automatizované vydávanie ešte zjednodušiť podporovaním novej metódy DNS-PERSIST-01, ktorá umožňuje overovať vlastníctvo domény trvalým záznamom v DNS.

Štandardné certifikáty Let's Encrypt majú v súčasnosti platnosť 90 dní. Po minuloročnom schválení skrátenia maximálnej dĺžky certifikátov z 398 dní na 47 dní konzorciom CA/Browser Forum skráti Let's Encrypt platnosť svojich certifikátov postupne na 45 dní, informovali sme o tom v tomto článku.

Podľa decembrového oznámenia od 13. mája 2026 začne Let's Encrypt ponúkať 45-dňové certifikáty voliteľne. Následne od 10. februára 2027 skráti štandardne vydávané certifikáty z 90 dní na 64 dní a od 16. februára 2028 ich skráti definitívne na 45 dní.


Najnovšie články:



Diskusia:

Pre SK Od: Jaaasom | Pridané: 18.1.2026 15:41 To bude niečo pre slovenskú štátnu správu. Plánovaná odstávka každý siedmy deň... Odpovedať Známka: 8.7 Hodnotiť:

Re: Pre SK Od: OriginalnyKoumakSK | Pridané: 18.1.2026 17:56 V statnej sprave a celkovo comkolvek, co bezi za peniaze danovych poplatnikov maju byt pouzite riadne komercne certifikaty vydane riadnou autoritou a s maximalnou moznou kompatibilitou. Ale zial vzdy sa najde nejaky hurvinek, ktory je schopny nasadit hoci aj self-signed, alebo nejaky free/bezplatny certifikat. Odpovedať Známka: -3.3 Hodnotiť:

Re: Pre SK Od: Wisdomspeaker | Pridané: 18.1.2026 19:36 Ty si riaden T U P E C! Let's encrypt je commercial grade certifikat a momentalne ho pouzivaju a obrovskeee weby moj maly, hlupulinky. Zoznam tychto webov si snad vies vyg go go go go lit, ak nie, nevadi, aj tak skapes sprosty :D :D :D Ty odbornik Odpovedať Známka: -3.3 Hodnotiť:

Re: Pre SK Od: stramak | Pridané: 18.1.2026 20:23 Joj debilko moj postihnuty aj s tvojim commercial grade srajdov. To, ze si objednam slapku za 5000€ z nej este nespravi lepsiu ako tu za 100€. Ked sa tu uz ohanas nejakym grade, tak si blbunko maj pozri taky military grade. Tebe ale bude stacit banana grade a hned na yo 6feet-under grade. Odpovedať Známka: 0.8 Hodnotiť:

Re: Pre SK Od: Hroch_asdf | Pridané: 18.1.2026 20:52 Let’s Encrypt offers Domain Validation (DV) certificates. We do not offer Organization Validation (OV) or Extended Validation (EV) primarily because we cannot automate issuance for those types of certificates. Odpovedať Známka: 5.0 Hodnotiť:

Re: Pre SK Od: OriginalnyKoumakSK | Pridané: 19.1.2026 11:31 myslis, ze Wisdomspeaker vobec chape co to znamena? Podla jeho reakcie velmi silno pochybujem. Odpovedať Hodnotiť:

Re: Pre SK Od: Hroch_asdf | Pridané: 19.1.2026 21:45 Chcel som obohatit tu vulgarnost o informacie. Odpovedať Hodnotiť:

Re: Pre SK Od: wtf??? | Pridané: 19.1.2026 16:37 to nie je len o LetsEncrypt Skracovanie maximalnej doby platnosti certifikatov je zhoda na urovni certifikacnych autorit https://shorturl.at/sG2VL Odpovedať Hodnotiť:

5znak Od: XMen | Pridané: 19.1.2026 9:11 Ja si pockam na hodinove certifikaty. Odpovedať Hodnotiť:

Re: 5znak Od: cvk | Pridané: 19.1.2026 13:03 No, ved ono to cele smeruje k samotnej esencii dokonalosti. Pokial domena, alebo IP adresa nebude pristupna vobec - odpojime od siete, alebo chraneny obsah uplne zmazeme = nebude existovat, tak sme sa dopracovali do bodu absolutnej bezpecnosti. Cim kratsia bude platnost certifikatov, tym castejsie bude nutne na strane klientov aktualizovat certifikaty. Potom sa stretavame s webmi ktore prehliadac identifikuje ako nebezpecne, pretoze si uzivatel neaktualizoval prehliadac - niekedy to riesia aktualizacie OS (napriklad Linux Mint). Toto ale beznemu uzivatelovi nedojde, ze tam ma na liste info o aktualizacii OS, ktoru ignoruje a to je problem s webom, ktory zrazu prestal fungovat, lebo mu v prehliadaci vyprsala platnost certifikatov daneho webu. Cim viac zmien, chap castejsia aktualizacia, tym viac je bezny uzivatel zahlteny informaciami a ma vecsi problem pochopit, aky vplyv to ma na jeho kazdodenny zivot. Odpovedať Hodnotiť:

Re: 5znak Od: Hroch_asdf | Pridané: 19.1.2026 21:48 Keby len certifikaty na weby, ale celkovo dynamic secrets. Ziadne manualne generovane tokeny, s ktorymi pracujem. Pekne dynamicky generovane credentials nasadene v skriptoch a pipelines. Trend je jasny - staticke hesla maju ustupit do pozadia a pouzivat sa maximalne ako useri / pripojenia pre zisk dynamickych, s platnostou v radovo minutach. HashiCorp Vault pozdravuje. Odpovedať Hodnotiť:

..... Od: Fericheky | Pridané: 19.1.2026 14:29 OK, takze co potom brani podvodnikom si spravit na 6 dni certifikat, ojebabrat ludi lebo nikto neokontroluje aky certifikat je, iba to ze prehliadac nekrici, a zrusit web? Odpovedať Hodnotiť:

Re: ..... Od: wtf??? | Pridané: 19.1.2026 16:33 Nie vsetko je o podvodnikoch osnymi certifikatmi ked si mal certase vydane na 10 rokov a nasledne v priebehu tohto casu sa vyskytla nejaka zranitelnost ktora ma vplyv na certifikat. napriklad prekonanie nejakej enkrypcie a pod co ludi nutilo vygenerovat si novy bezpecny certifikat? Nic. Kto iniciativne generuje nove certifikaty ked tie aktualne su este 5 rokov platne a funguju? Skratenim doby platnosti teda napriklad zabezpecis ze platobna brana na eshope do ktorej ty zadavas svoje platobne udaje pouziva certifikat bez security zranitelnosti. Napriklad takto dramaticke skratenie by malo nutit IT oddelenia k automatizacii obnovovania certakov, takze by malo ubudnut incidentov s expirovanymi certakmi. Lebo maunualne generovat certifikaty kazdy tyzden sa uz bude chciet ITckarom o dost menej ako raz za rok, za dva a podobne Ano, kto chce hejtit ohejti aj toto, povie ze v statnej sprave to len zvysi vypadky - kto chce tak sa na to pozrie ako na prilezitost improvnut veci - security, availability Odpovedať Hodnotiť:

Ip cert Od: Cigaretka robet fiko | Pridané: 19.1.2026 18:39 Ja uz pouzivam cert na ip adresu. Funguje bez problemov aj obnobnovenie. Zial este vacsina acme clientov tuto moznost nepodporuje. Mne sa podarilo vyziadat tento typ certifikatu len cez acme.sh bash skript Odpovedať Hodnotiť:

Re: Ip cert Od: ljkldwajdlajD | Pridané: 20.1.2026 21:33 Tiez uz vyuzivam. Ja som na to pouzil program lego. Odpovedať Hodnotiť:

pisaci stol Od: Elon Horvat | Pridané: 21.1.2026 22:37 Ja som si nainstaloval vlastny generator certifikatov, zvycajne generuje 24-hodinove. Kazde rano vytlaci output niekolko sulkov vo vedlajsom kancli bez papiera. Ako input pouzivam mletu zalievanu kavu. Odpovedať Hodnotiť:

Pridať komentár