Názor ke zprávičce Let's Encrypt vysvětluje 90denní platnost certifikátů od Ondrej Mikle - A to zase vy chápete špatně. Systém "důvěřuji...

A to zase vy chápete špatně. Systém "důvěřuji certifikační autoritě" je už roky překonán, proto vznikly protokoly DANE, Certificate Transparency, HTTP Public Key Pinning a v různé proprietární varianty jako Chrome HSTS preload list. DANE se bohužel nerozšíří, protože se DNSSEC zásadně víc nerozšírí.

Certificate Transparency naopak zakazuje velmi časté vydávání certifikátů, protože by zaspamovaly logy. CT je vlastně obrácený certificate pinning, kde se musí vydané certifikáty kontrolovat přes monitory.

Skutečný důvod, proč se pravděpodobně rozhodli pro relativně krátké 90-denní certifikáty je, že revokace v praxi často moc dobře nefunguje. Vlastně to ta zpráva říká zaobaleně.