Let's Encrypt už od svého počátku vystavoval a vystavuje certifikáty s platností 90 dnů. Před deseti lety v tom byl naprostým průkopníkem, protože v té době měly certifikáty běžně životnost v řádu několika let. Zástupci autority ale vždy říkali, že rozhodně nemají v plánu vystavovat dlouhodobější certifikáty, spíše jejich platnost naopak někdy v budoucnu zkrátí.
Před rokem autorita začala mluvit o volitelných šestidenních certifikátech, které umožní vystavení nejen na doménové jméno, ale také přímo na IP adresu. Letos v dubnu se navíc sdružení CA/B fórum dohodlo na tom, že se maximální platnost všech nově vystavených certifikátů zkrátí postupně na 45 dnů.
Cesta ke 45 dnům
Toto zkrácení je nově zavedeno do základní sady podmínek pro certifikační autority a přizpůsobit se tedy musejí všichni vystavovatelé certifikátů. Zkrácení doby platnosti certifikátů pomáhá zlepšit bezpečnost internetu tím, že omezuje rozsah ohrožení a zvyšuje účinnost technologií pro revokaci certifikátů,
vysvětluje Matthew McPherrin z Let's Encrypt.
Let's Encrypt kromě toho také zkrátí dobu opakovaného použití autorizace. To je doba, po kterou je platné potvrzení držení dané domény, pro kterou je pak možné vystavovat certifikáty. V současné době je lhůta nastavena na 30 dní, do roku 2028 se však zkrátí na 7 hodin.
Změny budou nasazovány postupně a v testovacím (staging) prostředí se objeví vždy zhruba měsíc před změnou v produkčních systémech. Pro hladší přechod také budou nasazeny profily, tedy různé volby týkající se variant certifikátu. Uživatelé tak budou moci mírně upravit dobu, kdy se jich změny dotknou. K dispozici je už i konkrétní harmonogram:
- 13. května 2026: Profil tlsserver bude přepnut do 45denního režimu. Ten je volitelný a bude tedy k dispozici pro první dobrovolné uživatele.
- 10. února 2027: Výchozí klasický profil bude nastaven na 64denní certifikáty s 10denní dobu platnosti autorizace domény. Tohle už zasáhne většinu uživatelů, pokud nepoužijí kratší profily tlsserver nebo šestidenní shortlived.
- 16. února 2028: Nastavení základního profilu se dále zkrátí na 45denní platnost certifikátu a 7hodinovou platnost autorizace domény.
Tato data platí vždy pro nově vystavené certifikáty, takže se typicky uživatelů dotknou, jakmile dojde k následujícímu obnovení jejich certifikátů.
Pozor na aktuální klienty
Let's Encrypt upozorňuje, že jde po letech o poměrně zásadní změnu a je třeba si dát pozor na kompatibilitu klienta ACME se současným stavem. Zkontrolujte tedy raději před těmito daty aktuálnost svých serverů a schopnost včas reagovat na změny. Pokud má klient v tuto chvíli napevno nastavenou dobu obnovy na šedesát dnů po posledním vystavení, nebude to stačit.
Poměrně novým řešením je v tomto ohledu protokol ARI, který byl nedávno standardizován a umožňuje klientům ptát se autority na doporučenou dobu příští obnovy certifikátu. Pokud klient ARI podporuje, může se průběžně autority ptát na aktuální stav a obnovení pak provede podle doporučení.
Rozhodně je doporučováno stav certifikátů monitorovat, abyste včas věděli o případném problému a blížící se době vypršení platnosti certifikátu. Při správně nastavených kontrolách tak budete mít dostatek času problém odstranit a pokračovat bez výpadku v obnovách.
Zjednodušení ověřování pomocí DNS
Let's Encrypt nyní odhalil také nový plán, který zásadně upraví validaci domény pomocí řetězce uloženého v DNS. To je pro mnoho uživatelů velmi komplikovaná varianta, protože DNS server obvykle běží jinde než klient ACME. Navíc je třeba předat serveru trvalou kontrolu alespoň nad částí zóny, protože řetězec pro ověření je potřeba změnit při každém automatickém obnovení certifikátu. Tyhle komplikace jsou také důvodem, proč většina uživatelů dává přednost jiným metodám ověření.
Všechny současné metody ověřování ovšem shodně vyžadují, aby klient ACME měl živý a trvalý přístup k infrastruktuře, a to buď za účelem poskytnutí správného tokenu HTTP-01, provedení správného handshake TLS-ALPN-01, nebo aktualizace správného záznamu DNS-01 TXT. Uživatelé ale už dlouho hledají způsob, jak vystavovat certifikáty bez toho, aby byl komukoliv byl udělen přístup k takto citlivým systémům.
Zástupci autority Let's Encrypt nyní prozradili, že pracují s partnery z CA/Browser fóra a IETF na standardizaci nové validační metody s názvem DNS-PERSIST-01. Hlavní výhodou této nové metody je, že záznam DNS TXT používaný k prokázání kontroly se nemusí při každém obnovení měnit.
To znamená, že bude možné nastavit záznam v DNS jen jednou a začít automaticky obnovovat certifikáty, aniž by byly potřeba další automatické aktualizace DNS. To by mělo umožnit většímu počtu uživatelů automatizovat obnovování certifikátů. Sníží se také závislost na opakovaném použití autorizace, protože záznamy DNS mohou zůstat beze změny a bez dalšího zásahu klienta ACME.
V současné době se připravuje návrh standardu, který celý princip popisuje. Uživatel musí do zóny vložit nový TXT záznam, který musí být uvnitř subdomény _validation-persist před ověřovanou doménu. Vznikne tak například jméno _validation-persist.example.com. Záznam obsahuje pevně danou strukturu, včetně identifikátoru konkrétního uživatelského účtu v ACME, který bude o certifikáty žádat. Záznam může vypadat například takto:
_validation-persist.example.org. 3600 IN TXT ("ca1.example;"
" accounturi=https://ca1.example/acme/acct/12345;"
" policy=wildcard")
Pokud je součástí záznamu také volba policy=wildcard, umožní to požádat také o certifikát pro libovolné subdomény, nebo rovnou o hvězdičkový certifikát pokrývající všechny. Pokud volba nastaví jinou politiku, nebo bude úplně chybět, bude autorita oprávněna vystavovat certifikát pouze na toto konkrétní doménové jméno.
Let's Encrypt má v plánu nabízet tuto metodu ověřování už během roku 2026. Další podrobnější informace budou jistě brzy následovat a my o nich určitě napíšeme.
