Certifikační autorita Let's Encrypt oznámila, že mění generaci svých kořenových a mezilehlých certifikátů, přičemž novou sadu nazývá Generací Y
. Kořenový certifikát bude odeslán do všech běžně používaných úložišť: Apple, Chrome, Microsoft, Mozilla a dalších. Každý z těchto nových kořenů má nakonec nahradit svého předchůdce, a proto jsme nové kořeny křížově podepsali těmi původními,
píše se v oznámení.
Nový kořen ISRG Root YR používá klíč RSA 4096 a je platný po dobu dvaceti let, stejně jako současný ISRG Root X1. Podobně nový certifikát ISRG Root YE využívá klíč ECDSA P-384, stejně jako ISRG Root X2. Došlo jen k několika kosmetickým změnám, například název autority „Internet Security Research Group“ byl nahrazen za zkrácené „ISRG“, aby se ušetřilo pár bajtů při navazování komunikace.
Vzniklo také šest nových mezilehlých certifikátů, po třech vydaných z každého ze dvou nových kořenů. Kořen ISRG YE vydal mezilehlé certifikáty YE1, YE2 a YE3, zatímco kořen ISRG YR vydal mezilehlé certifikáty YR1, YR2 a YR3. Tyto certifikáty se od současných liší ve dvou klíčových bodech. Jednak jsou pro přehlednost lépe označeny a vzestupně očíslovány, ale hlavně už neobsahují volbu TLS Web Client Authentication.
Souvisí to s dříve oznámeným ukončením podpory TLS certifikátů pro ověřování klientů. Certifikáty typu tlsClientAuth tak budou během roku 2026 postupně vyřazovány a do té doby budou vystavovány pouze v profilech tlsserver a shortlived, které volbu TLS Web Client Authentication nepoužívají. Po dokončení ukončení podpory tlsClientAuth přejde autorita k používání nových mezilehlých certifikátů pro všechny nově vystavené certifikáty.
Nové kořeny a mezilehlé certifikáty z Generace Y jsou už vystavovány v testovacím (staging) prostředí. Na produkčních serverech by se měly objevit v průběhu prosince. Stejně jako dříve bude mezilehlý certifikát náhodně losován, aby se zabránilo nevhodnému pinování mezilehlých certifikátů na straně uživatelů.
Přechod na novou hierarchii Generace Y
