Let’s Encrypt will die Gültigkeitsdauer von Zertifikaten bis 2028 auf 45 Tage verkürzen
Let’s Encrypt beginnt einen mehrjährigen Übergang zu einer kürzeren Gültigkeitsdauer von Zertifikaten, wobei die Gültigkeitsdauer von 90 Tagen auf 45 Tage verkürzt wird.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Let’s Encrypt wird die Gültigkeitsdauer von Zertifikaten in den kommenden Jahren verkürzen, von derzeit 90 Tagen auf 45 Tage bis 2028. Diese Änderung steht im Einklang mit den neuen Baseline Requirements des CA/Browser Forum, die für alle öffentlich vertrauenswürdigen Zertifizierungsstellen gelten.
Kürzere Gültigkeitsdauer von Zertifikaten sollen die Auswirkungen kompromittierter Schlüssel begrenzen und die Wirksamkeit von Sperrmechanismen verbessern. Parallel zu dieser Umstellung wird die Autorisierungswiederverwendungsdauer, also der Zeitraum, in dem zuvor validierte Domänenkontrollen wiederverwendet werden können, von 30 Tagen auf nur noch 7 Stunden verkürzt.
Die Umstellung erfolgt in mehreren Schritten, um den Benutzern Zeit zur Anpassung zu geben. Am 13. Mai 2026 beginnt das optionale tlsserver ACME-Profil mit der Ausstellung von 45-Tage-Zertifikaten für Early Adopters und Testzwecke. Am 10. Februar 2027 wird das standardmäßige klassische Profil auf 64-Tage-Zertifikate und eine 10-tägige Autorisierungswiederverwendungsdauer umgestellt.
Der letzte Schritt erfolgt am 16. Februar 2028, wenn das klassische Profil auf 45-Tage-Zertifikate mit einer Wiederverwendungsdauer von 7 Stunden umgestellt wird. Diese Änderungen betreffen nur neue Zertifikate, sodass Benutzer bei ihrer nächsten Verlängerung nach jedem Meilenstein eine kürzere Gültigkeitsdauer sehen werden.
🎓 Die meisten Benutzer, die sich auf die Automatisierte Ausstellung verlassen, müssen keine größeren Anpassungen vornehmen, aber es ist wichtig zu überprüfen, ob die bestehende Automatisierung kürzere Laufzeiten verarbeiten kann. Let's Encrypt empfiehlt die Verwendung von ACME-Verlängerungsinformationen, die Kunden Hinweise zum Zeitpunkt der Verlängerung geben.
Bei Setups, die ARI noch nicht unterstützen, sollten Erneuerungen etwa nach zwei Dritteln der konfigurierten Lebensdauer des Zertifikats erfolgen und nicht in festen 60-Tage-Intervallen. Von manuellen Erneuerungen wird abgeraten, da die Verkürzung der Gültigkeitsdauer häufigere Maßnahmen erforderlich macht. Let’s Encrypt empfiehlt außerdem, eine Überwachung einzurichten, um Erneuerungsfehler umgehend zu erkennen.
Und zum Schluss noch etwas Wichtiges. Let’s Encrypt arbeitet mit Partnern aus der Branche an einem neuen Challenge-Typ namens DNS-PERSIST-01. Im Gegensatz zu den derzeitigen Methoden wird dabei ein statischer DNS-TXT-Eintrag verwendet, der nicht bei jeder Verlängerung aktualisiert werden muss. Durch diesen Ansatz müssen ACME-Clients nicht mehr direkt auf DNS-Systeme zugreifen können, was eine umfassendere und einfachere Automatisierung ermöglicht. Der neue Challenge-Typ wird voraussichtlich 2026 verfügbar sein.
Weitere Informationen finden Sie in der offiziellen Ankündigung.
Comments