Let’s Encrypt o dva týždne prestane posielať upozornenia na exspiráciu

Značky: SSL / TLS

DSL.sk, 21.5.2025

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, čoskoro uskutoční pre niektorých užívateľov dôležitú zmenu vo svojej službe.

O dva týždne 4. júna totiž ukončí posielania emailových notifikácií upozorňujúcich užívateľov na blížiacu sa exspiráciu ich certifikátov.

Služba pripravovanú zmenu oznámila už v januári. Odvtedy neinformovala o zmene plánov a k ukončeniu zrejme teda príde v avizovanom termíne.

Certifikačná autorita uvádza viac dôvodov ukončenia notifikácií, okrem iného čoraz viac užívateľov má zautomatizovanú výmenu certifikátov a podpora notifikácií predstavuje pre službu náklady a ďalšiu záťaž.

Tento rok služba zároveň spúšťa čiastočne súvisiacu inú novinku, vydávanie certifikátov s platnosťou iba 6 dní. Zatiaľ Let's Encrypt štandardne vydáva 90-dňové certifikáty.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa skorších informácií ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Let's Encrypt bude vydávať 6-dňové certifikáty aj pre IP adresy, nielen pre domény.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom.

Prvý 6-dňový testovací certifikát pre seba služba vydala už vo februári, prvej malej skupine užívateľov plánuje Let's Encrypt sprístupniť 6-dňové certifikáty v druhom štvrťroku tohto roka a plošne ich chce sprístupniť do konca roka.

6-dňové certifikáty budú k dispozícii zatiaľ iba ako možnosť. 90-dňové certifikáty ale Let's Encrypt v budúcnosti nebude môcť vydávať, keď v apríli bol konzorciom CA/Browser Forum schválený návrh na postupné skrátenie maximálnej platnosti certifikátov pre servery iba na 47 dní.

V súčasnosti môžu certifikáty platiť maximálne 398 dní. Táto maximálna doba sa bude postupne skracovať a od 15. marca 2029 bude môcť maximálna doba platnosti certifikátov dosahovať iba 47 dní.


Najnovšie články:



Diskusia:

;:;,;:' Od: :;!^';^,,;.,"' | Pridané: 21.5.2025 22:28 6-milisekundové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov, najmä ak sa dajú riešiť pomocou predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Odpovedať Známka: 8.7 Hodnotiť:

Re: ;:;,;:' Od: OriginalnyKoumakSK | Pridané: 22.5.2025 8:58 vzhladom na dlzku odozvy dialupu by mal certifikat mat platnost 3 sekundy, cim by ostala zachovana doba pre uspesny handshake aj pri 2400 baudovej rychlosti a 256 bitovom kluci. Odpovedať Známka: 7.5 Hodnotiť:

a to ako? Od: sensei-san | Pridané: 22.5.2025 13:01 To už tu nikto nič negarantuje?? Odpovedať Známka: 10.0 Hodnotiť:

konec sveta Od: askdjfkasjdjio | Pridané: 22.5.2025 16:06 47 dnove certfikaty. ako vravel slovensky kasik - vam musi ... , chalani... co tak jeden certifikat per connection? Odpovedať Známka: 10.0 Hodnotiť:

Re: konec sveta Od: -...- | Pridané: 22.5.2025 16:33 Per connection? Pfff, navrhujem per packet Odpovedať Hodnotiť:

Pridať komentár