Let’s Encrypt, η μη κερδοσκοπική αρχή έκδοσης πιστοποιητικών που παρέχει δωρεάν πιστοποιητικά TLS/SSL για εκατομμύρια ιστότοπους, ανακοίνωσε εκτεταμένες ενημερώσεις στις πολιτικές έκδοσής της.
Οι αλλαγές εισάγουν μια νέα ιεραρχία ρίζας “Generation Y”, καταργούν τον έλεγχο ταυτότητας πελάτη TLS και σταδιακά συντομεύουν τις διάρκεια ζωής του πιστοποιητικού για να ευθυγραμμιστούν με τις απαιτήσεις του φόρουμ CA/Browser.
Για να διασφαλιστεί μια ομαλή μετάβαση, το Let’s Encrypt αξιοποιεί τα προφίλ ACME, δίνοντας στους χρήστες τον έλεγχο του χρόνου διάθεσης. Για τους περισσότερους, δεν απαιτείται άμεση δράση.
Κεντρικό στοιχείο της ενημέρωσης είναι η ιεραρχία “Generation Y”: δύο νέες CA ρίζας και έξι ενδιάμεσες CA, διασταυρωμένες από τις υπάρχουσες ρίζες “Generation X” (X1 και X2).
Αυτό διατηρεί την ευρεία συμβατότητα εμπιστοσύνης. Τα νέα ενδιάμεσα παραλείπουν την εκτεταμένη χρήση κλειδιού ελέγχου ταυτότητας πελάτη TLS (EKU), αντιμετωπίζοντας μια επερχόμενη εντολή ριζικού προγράμματος. Ας κρυπτογραφήσουμε τα προηγούμενα λεπτομερή σχέδια για τον τερματισμό της υποστήριξης TLS Client Auth από τον Φεβρουάριο του 2026.
Τα χρονοδιαγράμματα για συγκεκριμένα προφίλ ποικίλλουν. Χρήστες στην προεπιλογή κλασικό προφίλ μεταβείτε στη Generation Y στις 13 Μαΐου 2026. Όσοι χρειάζονται πιστοποίηση πελάτη παλαιού τύπου TLS μπορούν να παραμείνουν στο προφίλ tlsclient, το οποίο παραμένει στη Generation X μέχρι τον Μάιο του 2026.
Εν τω μεταξύ, ο διακομιστής TLS και τα βραχύβια προφίλ μετατοπίζονται στη Γενιά Y αυτήν την εβδομάδα, επιτρέποντας τη συμμετοχή πιστοποιητικών βραχείας διάρκειας με υποστήριξη διεύθυνσης IP. Αυτό σηματοδοτεί τη γενική διαθεσιμότητα για βραχύβια πιστοποιητικά, βοηθώντας τις αυτοματοποιημένες ανανεώσεις και μειώνοντας τα παράθυρα έκθεσης.
Η συντόμευση του χρόνου ζωής συμμορφώνεται με την εξέλιξη CA/Φόρουμ προγράμματος περιήγησης Απαιτήσεις βασικής γραμμής. Το επόμενο έτος, οι χρήστες που θα υιοθετήσουν πρώιμα θα δοκιμάσουν πιστοποιητικά 45 ημερών μέσω tlsserver. Οι προεπιλογές πέφτουν σε 64 ημέρες το 2027 και μετά σε 45 ημέρες το 2028, όπως περιγράφεται στην ανάρτηση μείωσης διάρκειας ζωής του Let’s Encrypt.
Επισκόπηση χρονοδιαγράμματος
| Αλλαγή | Επηρεασμένο προφίλ | Ημερομηνία |
|---|---|---|
| Διάδοση Gen Y (tlsserver/μικρής διάρκειας) | tlsserver, βραχύβια | Αυτή την εβδομάδα |
| Τέλος πιστοποιητικού πελάτη TLS | Όλα (κληρονομιά του πελάτη) | Φεβρουάριος 2026 |
| Προεπιλεγμένος διακόπτης Gen Y | Κλασσικός | 13 Μαΐου 2026 |
| Συμμετοχή 45 ημερών | tlsserver | 2026 |
| Προεπιλογή 64 ημέρες | Ολοι | 2027 |
| Προεπιλογή 45 ημέρες | Ολοι | 2028 |
Αυτές οι ενημερώσεις δυναμώνω ασφάλεια ελαχιστοποιώντας βασικούς κινδύνους συμβιβασμού μέσω μικρότερης εγκυρότητας και εκλεπτυσμένων EKU, χωρίς να διακόπτονται οι περισσότερες ροές εργασίας. Let’s Encrypt παροτρύνει την επανεξέταση των συνδεδεμένων αναρτήσεων και των φόρουμ κοινότητας για ακραίες περιπτώσεις, όπως πιστοποιητικά IP .
Καθώς η υποστήριξη στο Let’s Encrypt αυξάνεται, εξασφαλίζοντας πάνω από 300 εκατομμύρια τομείς, αυτές οι αλλαγές υπογραμμίζουν την προληπτική προσαρμογή στα πρότυπα της βιομηχανίας, επηρεάζοντας δυνητικά τα ευρύτερα οικοσυστήματα PKI.
