Az internetes tanúsítványok érvényessége vészesen rövidül

Mi változik és mikor?

A tanúsítványok élettartamának felére csökkentése révén rövidebb ideig jelent kockázatot egy kompromittált tanúsítvány. Ez azt jelenti, hogy a feltört vagy visszavont tanúsítványok gyorsabban veszítik el érvényességüket, így nő az internetbiztonság. A Let’s Encrypt nemcsak a tanúsítványok élettartamát, hanem az úgynevezett „jogosultság újrahasználati időszakot” (authorization reuse period) is csökkenti, vagyis azt az időt, amely alatt egy már egyszer érvényesített domainre újabb tanúsítványokat lehet kiadni: ez jelenleg 30 nap, de 2028-tól már csak 7 óra lesz.

A változások menetrendje

A Let’s Encrypt több lépcsőben vezeti be az új szabályokat, hogy a felhasználói oldalon minél kevesebb fennakadás legyen. 2026 májusától már elérhető lesz egy 45 napos tanúsítvány speciális profillal, 2027 februárjától 64 napra csökken a tanúsítványok alapértelmezett időtartama (10 napos jogosultság-újrahasználattal), végül 2028 februárjában már bármilyen új tanúsítvány csak 45 napra szól majd, mindössze 7 órás jogosultság-újrahasználattal.

Mire kell figyelni?

Az automatizált Let’s Encrypt-felhasználók többségének nem lesz teendője, de mindenképp érdemes ellenőrizni, hogy a beállított automatizmus támogatja-e a rövidebb tanúsítvány-ciklust. Nem egyértelmű, de lehetséges, hogy aki 60 napos fix frissítési ütemet használ, annak át kell állnia. Az ACME-kliens ARI-funkciójával időben el lehet kezdeni a megújítást, de minden szoftver másképp kezeli ezt – erről érdemes meggyőződni. A manuális tanúsítvány-frissítés kerülendő, hiszen jóval sűrűbben kellene ismételni.

Könnyebb automatizáció egy új DNS-módszerrel

A tanúsítványok lejáratának rövidítése miatt többször kell igazolni a domain feletti kontrollt, ami sok felhasználó életét megnehezíti. Ezért dolgozik a Let’s Encrypt és partnerei egy új, DNS-PERSIST-01-nek nevezett eljáráson, amelyben nem kell minden megújításnál DNS-rekordot módosítani. Így elég egyszer beállítani a TXT-rekordot, és attól kezdve gond nélkül lehet folyamatosan megújítani a tanúsítványokat automatizáltan, DNS-hozzáférés nélkül. A módszer várhatóan 2026-ban válik elérhetővé.

Mire számíthatsz még?

Fontos, hogy mindenki értesüljön a közelgő változásokról, és időben átálljon az új szabályokra. A Let’s Encrypt további információkat, emlékeztetőket és részletes útmutatókat tesz közzé a hivatalos csatornáin. Érdemes figyelni az újdonságokat és felkészülni a drasztikusan lerövidülő SSL tanúsítvány-ciklusra.

2025, adminboss, letsencrypt.org alapján