Срокът на валидност на сертификатите от Let's Encrypt (и изобщо на TLS/SSL сертификатите) ще се намали значително в близко бъдеще.
Това не е моментална промяна, а постепенен процес, наложен от CA/Browser Forum – организацията, която определя стандартите за сертификатите.
Текущо сертификатите на Let's Encrypt са валидни за 90 дни (с опция за 6-дневни "short-lived" сертификати за абонати), но според новите правила максималният срок ще бъде 47 дни към 15 март 2029 г.
Това засяга всички публични Certificate Authorities (CA), включително Let's Encrypt.

Основната причина е подобряване на сигурността в уеб екосистемата. По-дългите периоди на валидност (преди 2018г. бяха до 398 дни) увеличават риска - ако частен ключ на сертификат бъде компрометиран (напр. чрез хакерска атака), злоупотребата може да продължи месеци, преди сертификатът да изтече. По-кратките срокове ограничават този "прозорец за уязвимост" и насърчават по-честото обновяване, което улеснява бързото реагиране при проблеми. Инициативата е тласната от Apple (и подкрепена от Google, Mozilla и Microsoft), като се цели по-строг контрол по веригата на доверие.
Срокът от 47 дни не е случаен – той е базиран на математическа "каскада" от месечни периоди (31 + 15 + 1 ден буфер), за да се улесни планирането.

Постепенния преход ще се осъществи на етапи.
От 15 март 2026 г.: Максимум 200 дни.
От 15 март 2027 г.: Максимум 100 дни.
От 15 март 2029 г.: Максимум 47 дни (плюс намаляване на периода за Domain Control Validation до 10 дни).

Някои ефекти от това са, че ще се увеличи обемът на Certificate Revocation Lists (CRLs) – списъците с оттеглените сертификати – с почти 10 пъти, което може да натовари инфраструктурата на браузърите и CA. Също така, ще се наложи по-често обновяване: за 90-дневни сертификати се препоръчва на всеки 60 дни, а за 47-дневни – на всеки 30–35 дни.
Сигурността ще се повиши, но и потенциала за прекъсвания на сайтове без автоматизация, особено при големи мащаби (напр. хиляди домейни).

Разработчиците и собствениците ще трябва да инвестират в автоматизация на обновяването на сертификати (напр. чрез Certbot от Let's Encrypt, който поддържа автоматични renewals). Удобно би било да се тестват скриптове при short-lived сертификати (6-дневни опцията ще бъде широко достъпна до края на 2025 г.), особено в CI/CD pipelines. Ако се използва ръчно управление, се увеличава риска от downtime – препоръчително е да се започне миграция към инструменти като ACME протокола още сега.

По-честите обновления ще изискват надеждна инфраструктура, за да се избегнат грешки като "certificate expired". Малките сайтове може да не усетят проблем, ако използват хостинг услуги (като Cloudflare или AWS), които автоматизират процеса. Големите платформи ще трябва да обновят политиките за мониторинг, за да предотвратят масови прекъсвания. Общо взето, подчертава се нуждата от "zero-touch" управление – без човешка намеса.

Ако вече използвате Let's Encrypt, препоръчително е да проверите документацията им за short-lived опции и да тествате автоматизацията си.
За повече детайли, вижте официалния FAQ на Let's Encrypt.

Източник: https://lwn.net/Articles/1048976/