[ON] Let's Encrypt уменьшит срок действия сертификатов до 45 дней

[rssbot]

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года


Одновременно поэтапно будет сокращён период действия авторизации -
10 февраля 2027 года он будет сокращён с 30 до 10 дней, а 16 февраля 2028 года - c 10 дней до 7 часов. Под периодом действия авторизации понимается время после подтверждения своих прав на домен, в течение которого сертификат может быть выдан без прохождения повторных проверок. После истечения данного времени требуется новое подтверждение прав.



В качестве причины сокращения срока действия сертификатов называются новые требования ассоциации CA/Browser Forum, выработанные в ходе совместной работы производителей браузеров и удостоверяющих центров. Аналогичное сокращение срока действия будет внедрено всеми удостоверяющими центрами. CA/Browser Forum определил конечный срок завершения внедрения мартом 2029 года, а максимальное время действия сертификата - 47 днями. После марта 2029 года обработка в браузерах новых сертификатов, срок действия которых превышает 47 дней, будет приводить к выводу в ошибки "ERR_CERT_VALIDITY_TOO_LONG".


Из достоинств перехода на короткодействующие сертификаты отмечается возможность сокращения времени внедрения новых криптоалгоритмов в случае выявления уязвимостей в ныне действующих, а также повышение безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая проверка владения доменом и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.




В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами. При этом пользователям, уже применяющим автоматизированные системы, необходимо убедиться, что их инструментарии корректно поддерживают сертификаты с сокращённым сроком действия. Для координации своевременного автоматического обновления сертификатов администраторы могут использовать расширение протокола ARI (ACME Renewal Information), позволяющее получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Так же имеет смысл настроить систему мониторинга для выявления ситуаций, когда сертификат не был обновлён своевременно.



Для упрощения подтверждения прав на домен проект Let's Encrypt планирует внедрить в 2026 году новый метод проверки DNS-PERSIST-01, который в отличие от методов HTTP-01 и DNS-01 не требует обновления информации при каждой проверке и наличия у ACME-клиента доступа к web-инфраструктуре или DNS-серверу. В PERSIST-01 достаточно один раз добавить в DNS определённую TXT-запись ('_validation-persist.example.com. IN TXT ("ca.example;"
" accounturi=https://ca.example/acct/123")') и ACME-клиент сможет проводить авторизацию без обновления данных в DNS.



Источник: https://www.opennet.ru/opennews/art.shtml?num=64363
(opennet.ru, основная лента)

[yoricI]

А есть ли жизнь без сертификатов? https будет открытым? Что ещё?

[Obscurus]

Что ещё?

Я так понимаю, что сертификаты от удостоверяющих центров позволяют предупреждать MITM-атаки. Самовыпущенные на такое не способны, так как не содержат полную цепочку.

[Bizdelnick]

А есть ли жизнь без сертификатов?

А чем вызван такой вопрос? Технически сертификаты хоть каждый день обновлять можно, лишь бы УЦ успевали их выпускать.

[Kopilov]

Я так понимаю, что сертификаты от удостоверяющих центров позволяют предупреждать MITM-атаки. Самовыпущенные на такое не способны, так как не содержат полную цепочку.

Самовыпущенные способны, если ты выпустил его для себя и у себя же добавил в доверенные (например, тот же OpenVPN для личного пользования или HTTPS для ограниченных рабочих ресурсов, когда на компах сотрудников можно свой доверенный сертификат поставить). В публичных ресурсах будет предупреждение, что сертификат самовыпущенный — это может быть как MITM, так и сознательно самовыпущенный.

[yoricI]

А чем вызван такой вопрос?

Мало ли что. Сами сертификаты же могут способствовать уязвлению? Какой-нить товарищ майор может иметь доступ через них? Так вот, выкинуть сертификаты и что получится?

[/dev/random]

Сами сертификаты же могут способствовать уязвлению? Какой-нить товарищ майор может иметь доступ через них?

Нет, не могут.

[Bizdelnick]

Какой-нить товарищ майор может иметь доступ через них?

Точно не в большей степени, чем без них.

Добавлено (21:03):

Так вот, выкинуть сертификаты и что получится?

Что у всех транзитных узлов будет не меньше реальных возможностей для перехвата и манипулирования трафиком, чем у гипотетического товарища майора.