A Let’s Encrypt anunciou que reduzirá gradualmente o período de validade dos certificados TLS publicamente confiáveis que emite nos próximos anos, dos atuais 90 dias para 45 dias, com um prazo de conclusão previsto para 2028. Este ajuste é uma mudança em todo o setor impulsionada pelos requisitos básicos estabelecidos pelo CA/Browser Forum, e todas as autoridades de certificação confiáveis adotarão práticas semelhantes para melhorar a segurança geral da Internet, encurtando o ciclo de vida do certificado, limitando o escopo de riscos como vazamento de chave e melhorar a eficiência dos mecanismos de revogação.

Além do próprio período de validade do certificado, Let's Encrypt também reduzirá significativamente o período de reutilização dos resultados da verificação de controle de nome de domínio (período de reutilização de autorização), ou seja, após concluir uma verificação de controle de nome de domínio, quanto tempo é o período de janela permitido para continuar a emitir certificados com base nesta verificação. Esta duração é atualmente de 30 dias, com planos de redução para apenas sete horas até 2028, fazendo com que os controlos de domínio tenham de ser revalidados com mais frequência para reduzir o risco de abuso de autorizações de longa data.

Para minimizar o impacto sobre os usuários existentes, Let’s Encrypt implementará essas mudanças em fases e dará aos usuários controle sobre o tempo da mudança no lado do cliente por meio de perfis ACME. A programação oficial mostra: A partir de 13 de maio de 2026, o perfil opcional tlsserver será o primeiro a emitir um certificado de 45 dias; em 10 de fevereiro de 2027, o perfil clássico padrão será alterado para emissão de certificado de 64 dias e o período de reutilização da autorização será reduzido para 10 dias; até 16 de fevereiro de 2028, o perfil clássico será ajustado para um certificado de 45 dias e um certificado de 7 dias. período de reutilização de licença de uma hora. Essas datas afetam apenas os certificados recém-emitidos, e os usuários experimentarão gradualmente um período de validade reduzido durante as renovações automáticas subsequentes.

Para a maioria dos utilizadores que já dependem de meios automatizados de obtenção e renovação de certificados, os responsáveis ​​acreditam que geralmente não são necessárias grandes modificações, mas recomendam verificar se os processos automatizados existentes podem acomodar períodos de validade mais curtos. A Let’s Encrypt recomenda que o cliente ACME suporte e habilite o mecanismo ACME Renewal Information (ARI) para que o cliente possa saber o horário de renovação apropriado. Se o cliente não suportar ARI atualmente, ele deverá garantir que a frequência de agendamento de renovação seja alta o suficiente. Por exemplo, evite utilizar a estratégia de “renovação fixa de 60 dias” e, em vez disso, opte por acionar a tarefa de renovação em cerca de dois terços do ciclo de vida do certificado. A renovação manual não é expressamente recomendada, pois se torna mais frequente e sujeita a erros à medida que o ciclo de vida do certificado é ainda mais reduzido.

O responsável enfatizou ainda que a equipa de operação e manutenção deve garantir que dispõe de mecanismos adequados de monitorização e alerta. Quando o certificado não for renovado conforme esperado, o sistema poderá emitir lembretes imediatos para evitar interrupções de serviço ou riscos de segurança. Let’s Encrypt lista uma variedade de soluções de monitoramento de terceiros e de construção própria em seu site para que os usuários escolham uma combinação adequada de serviços de monitoramento para se adaptar aos requisitos de operação e manutenção decorrentes de um ciclo de vida de certificado mais curto.

Considerando que a redução do período de validade do certificado e do período de reutilização da autorização forçará os usuários a comprovar o controle do nome de domínio com mais frequência, a Let’s Encrypt também está promovendo novos mecanismos de verificação para reduzir a dificuldade de automação. Os desafios atuais de HTTP-01, TLS-ALPN-01 e DNS-01 no protocolo ACME normalmente exigem que o cliente ACME tenha permissões operacionais em tempo real para o servidor web ou infraestrutura DNS em cada momento de autenticação, o que representa desafios em termos de isolamento de segurança e minimização de permissões. Para esse fim, a Let’s Encrypt está trabalhando com o CA/Browser Forum e o IETF para padronizar o DNS-PERSIST-01, cujo principal benefício é que o registro DNS TXT usado para provar o controle de um nome de domínio não precisa ser alterado frequentemente durante renovações subsequentes.

Assim que o DNS-PERSIST-01 estiver disponível, os usuários poderão configurar os registros DNS uma vez e, em seguida, obter a renovação automática de longo prazo sem atualizar automaticamente a configuração do DNS, ajudando mais organizações a concluir a implantação automatizada de certificados sem relaxar o acesso à infraestrutura. Ao mesmo tempo, esta abordagem também reduz a dependência do próprio "período de reutilização de autorização", porque os registros DNS inalterados de longo prazo podem continuar a suportar a verificação de controle de nomes de domínio sem a necessidade de os clientes ACME intervirem repetidamente nas atualizações de configuração. A Let’s Encrypt espera que este novo tipo de desafio esteja disponível para os usuários em 2026 e disse que anunciará mais detalhes e diretrizes de implementação próximo ao lançamento.

Let’s Encrypt convida os usuários que precisam ser informados sobre mudanças técnicas em tempo hábil a se inscreverem em sua lista de discussão de atualizações técnicas para receber as notificações e lembretes mais recentes sobre ajustes de validade de certificados, alterações no mecanismo de verificação, etc. se quiserem entender o progresso da Let’s Encrypt e de sua organização sem fins lucrativos Internet Security Research Group (ISRG) em projetos mais amplos de segurança e privacidade na Internet, eles podem verificar o relatório anual recém-lançado.