3. Souhrn posledních novinek Let's Encrypt

Souhrn posledních novinek Let's Encrypt

  • administrators

    Opravdu dlouho jsem nepřinesl žádné novinky o Let’s Encrypt a za toto nehorázné zanedbávání tohoto webu/fóra se velice omlouvám. Proto Vám přináším souhrn všech ověřených změn a oznámení za poslední dobu:

    Byla zavedena opatření proti takzvaným zombie klientům, tedy klientům, kteří opakovaně neúspěšně žádají o certifikáty bez dokončení ověření domény. Ruční uplatňování prvních omezení začalo v září 2024 a automatizované pauzování problematických registrací bylo nasazeno od prosince 2024. Cílem je snížení zbytečné zátěže infrastruktury a zvýšení stability služby.

    Došlo také k oznámení ukončení podpory protokolu OCSP, které bylo zveřejněno 5. prosince 2024. Od 30. ledna 2025 přestala fungovat OCSP Must-Staple potvrzení, od 7. května 2025 byly z nově vydávaných certifikátů odstraněny OCSP URL a 6. srpna 2025 byly vypnuty OCSP respondéry, čímž byla služba OCSP definitivně ukončena. Ověřování stavu zneplatnění certifikátů se nadále opírá o CRL seznamy.

    Let’s Encrypt ukončil zasílání e-mailových upozornění na blížící se expiraci certifikátů 4. června 2025. Současně byly z produkčních systémů odstraněny e-mailové adresy spojené s ACME účty. Důvodem byla převaha automatizovaných obnov, náklady na provoz a otázky ochrany soukromí.

    Plán postupného zkracování platnosti SSL/TLS certifikátů byl zveřejněn 2. prosince 2025. Certifikáty budou zkráceny nejprve na 64 dnů od 10. února 2027 a následně na 45 dnů od 16. února 2028. Možnost dobrovolně přejít na 45denní certifikáty bude dostupná od 13. května 2026. Se zkracováním platnosti souvisí i omezení doby, po kterou lze znovu použít ověření vlastnictví domény – postupně se má zkrátit z původních 30 dnů až na 7 hodin. Hlavním důsledkem je nutnost plně funkční automatizace obnov certifikátů.

    Let’s Encrypt zároveň vytvořil novou hierarchii kořenových a prostředních certifikačních autorit označovanou jako Generation Y. Podpora této hierarchie pro běžné serverové certifikáty a krátkodobé profily byla zpřístupněna 7. ledna 2026. V oblasti vydávacích řetězců certifikátů tak byla nová intermediární infrastruktura spojená s Generation Y uvedena do běžného provozu tímto datem a pokračuje odklon od starších řetězců a historických kompatibilitních prvků.

    Nové intermediární certifikáty v základním profilu neobsahují rozšíření pro TLS klientskou autentizaci (Client Authentication EKU) od 11. února 2026. Alternativní profil s podporou klientské autentizace bude k dispozici pouze do 13. května 2026, poté bude tato možnost zcela odstraněna.

    Celkově tedy od mého posledního příspěvku, který jsem posílal 15. března 2024 došlo k významným změnám v oblasti platnosti certifikátů, certifikačních řetězců, bezpečnostních mechanismů (OCSP → CRL) a podpoře klientské autentizace, které ovlivní způsob, jakým Let’s Encrypt certifikáty fungují a jakým je potřeba je spravovat.

    0
Přihlásit se pro odpověď
 

Vypadá to, že vaše připojení k Let's Encrypt - komunitní fórum (CZ+SK) bylo ukončeno. Vyčkejte prosím, než obnovíme připojení.