Let's Encrypt a annoncé qu'il réduirait progressivement la période de validité des certificats TLS de confiance publique qu'il émet au cours des prochaines années, de 90 jours actuellement à 45 jours, avec un délai d'achèvement prévu de 2028. Cet ajustement est un changement à l'échelle du secteur motivé par les exigences de base établies par le CA/Browser Forum, et toutes les autorités de certification de confiance adopteront des pratiques similaires pour améliorer la sécurité globale d'Internet en raccourcissant le cycle de vie des certificats, limitant la portée des risques tels que la clé. fuite et l’amélioration de l’efficacité des mécanismes de révocation.
En plus de la période de validité du certificat lui-même, Let's Encrypt réduira également considérablement la période de réutilisation des résultats de la vérification du contrôle des noms de domaine (période de réutilisation des autorisations), c'est-à-dire, après avoir terminé une vérification du contrôle du nom de domaine, combien de temps la période de fenêtre est-elle autorisée pour continuer à émettre des certificats basés sur cette vérification. Cette durée est actuellement de 30 jours, et il est prévu de la réduire à sept heures seulement d'ici 2028, ce qui nécessitera une revalidation plus fréquente des contrôles de domaine afin de réduire le risque d'abus d'autorisations de longue date.
Pour minimiser l'impact sur les utilisateurs existants, Let's Encrypt mettra en œuvre ces changements par étapes et donnera aux utilisateurs le contrôle du moment du changement côté client via les profils ACME. Le calendrier officiel indique : À partir du 13 mai 2026, le profil facultatif tlsserver sera le premier à délivrer un certificat de 45 jours ; le 10 février 2027, le profil classique par défaut sera modifié pour délivrer un certificat de 64 jours et le délai de réutilisation de l'autorisation sera raccourci à 10 jours ; d'ici le 16 février 2028, le profil classique sera encore ajusté à un certificat de 45 jours et un certificat de 7 jours. heure de réutilisation de la licence. Ces dates n'affectent que les certificats nouvellement émis, et les utilisateurs connaîtront progressivement une période de validité raccourcie lors des renouvellements automatiques ultérieurs.
Pour la plupart des utilisateurs qui s’appuient déjà sur des moyens automatisés pour obtenir et renouveler leurs certificats, les responsables estiment que des modifications majeures ne sont généralement pas nécessaires, mais recommandent de vérifier si les processus automatisés existants peuvent s’adapter à des périodes de validité plus courtes. Let's Encrypt recommande que le client ACME prenne en charge et active le mécanisme d'informations de renouvellement ACME (ARI) afin que le client puisse connaître l'heure de renouvellement appropriée. Si le client ne prend pas actuellement en charge ARI, il doit s'assurer que la fréquence de planification du renouvellement est suffisamment élevée. Par exemple, évitez d'utiliser la stratégie de « renouvellement fixe à 60 jours » et choisissez plutôt de déclencher la tâche de renouvellement environ aux deux tiers du cycle de vie du certificat. Le renouvellement manuel n'est expressément pas recommandé car il devient plus fréquent et plus sujet aux erreurs à mesure que le cycle de vie du certificat est encore plus raccourci.
Le responsable a également souligné que l'équipe d'exploitation et de maintenance devrait s'assurer qu'elle dispose de mécanismes de surveillance et d'alerte adéquats. Une fois que le certificat n'est pas renouvelé comme prévu, le système peut émettre des rappels rapides pour éviter les interruptions de service ou les risques de sécurité. Let's Encrypt répertorie une variété de solutions de surveillance tierces et auto-construites sur son site Web afin que les utilisateurs puissent choisir une combinaison appropriée de services de surveillance pour s'adapter aux exigences d'exploitation et de maintenance induites par un cycle de vie plus court des certificats.
Considérant que le raccourcissement de la période de validité des certificats et de la période de réutilisation des autorisations obligera les utilisateurs à prouver plus fréquemment le contrôle des noms de domaine, Let's Encrypt promeut également de nouveaux mécanismes de vérification pour réduire la difficulté de l'automatisation. Les défis actuels HTTP-01, TLS-ALPN-01 et DNS-01 dans le protocole ACME nécessitent généralement que le client ACME dispose d'autorisations opérationnelles en temps réel sur le serveur Web ou l'infrastructure DNS à chaque moment d'authentification, ce qui pose des défis en termes d'isolation de sécurité et de minimisation des autorisations. À cette fin, Let's Encrypt travaille avec le CA/Browser Forum et l'IETF pour normaliser DNS-PERSIST-01, dont le principal avantage est que l'enregistrement DNS TXT utilisé pour prouver le contrôle d'un nom de domaine n'a pas besoin de changer fréquemment lors des renouvellements ultérieurs.
Une fois que DNS-PERSIST-01 est disponible, les utilisateurs peuvent configurer des enregistrements DNS une seule fois, puis obtenir un renouvellement automatique à long terme sans mettre à jour automatiquement la configuration DNS, aidant ainsi davantage d'organisations à terminer le déploiement automatisé des certificats sans relâcher l'accès à l'infrastructure. Dans le même temps, cette approche réduit également la dépendance à l'égard de la « période de réutilisation des autorisations » elle-même, car les enregistrements DNS inchangés à long terme peuvent continuer à prendre en charge la vérification du contrôle des noms de domaine sans que les clients ACME n'aient besoin d'intervenir de manière répétée dans les mises à jour de configuration. Let's Encrypt s'attend à ce que ce nouveau type de défi soit disponible pour les utilisateurs en 2026 et a annoncé qu'il annoncerait plus de détails et des directives de mise en œuvre à l'approche du lancement.
Let's Encrypt appelle les utilisateurs qui ont besoin d'être informés des modifications techniques en temps opportun à s'abonner à sa liste de diffusion de mises à jour techniques pour recevoir les dernières notifications et rappels sur les ajustements de validité des certificats, les modifications du mécanisme de vérification, etc. Si les utilisateurs ont des questions spécifiques, ils peuvent accéder au forum communautaire officiel pour communiquer et demander de l'aide ; S’ils veulent comprendre les progrès de Let’s Encrypt et de son organisation mère à but non lucratif Internet Security Research Group (ISRG) sur des projets plus larges de sécurité et de confidentialité sur Internet, ils peuvent consulter le rapport annuel récemment publié.