Let’s Encrypt, uma autoridade certificadora de interesse público, anunciou o lançamento de uma nova hierarquia de certificados da “Geração Y” e planeja reduzir o período de validade padrão do certificado para 45 dias em etapas ao longo dos próximos anos para fortalecer ainda mais a segurança das comunicações criptografadas da Internet. Essa série de ajustes também inclui a descontinuação da autenticação de cliente TLS e a mudança da configuração ACME padrão para uma nova hierarquia de certificados.
Let’s Encrypt afirmou que a arquitetura da Geração Y recém-habilitada consiste em dois novos certificados raiz (CA raiz) e seis novos certificados intermediários (CA intermediário). Esses novos certificados são assinados de forma cruzada pelos certificados raiz X1 e X2 existentes da Geração X, garantindo assim que a nova arquitetura também possa ser confiável e usada em ambientes que atualmente confiam em X1/X2. O responsável também reiterou que a sua autenticação de cliente TLS será encerrada a partir de fevereiro de 2026. A partir de 13 de maio de 2026, a configuração ACME clássica padrão será alterada para um nível baseado na Geração Y e não conterá mais a função de autenticação de cliente. Para usuários que ainda precisam fazer a transição, Let’s Encrypt fornece uma configuração tlsclient que pode continuar a usar certificados raiz da Geração X existentes até maio de 2026.
Em termos de período de validade do certificado, Let’s Encrypt reduzirá gradualmente o ciclo de vida do certificado de acordo com os requisitos básicos do CA/Browser Forum. A partir de 2026, ele entrará em uma fase voluntária de “teste das águas”, e os primeiros usuários e usuários de teste poderão escolher um certificado com período de validade de 45 dias por meio da configuração do tlsserver. Em 2027, o período de validade padrão do certificado será reduzido para 64 dias e, em 2028, o período de validade padrão será reduzido ainda mais para 45 dias, quando os certificados de curta duração se tornarão a norma. As autoridades apontaram que encurtar o ciclo de vida do certificado pode estreitar a janela de tempo de ataque, promover atualizações de algoritmos criptográficos mais rapidamente e reduzir o impacto a longo prazo de problemas como a emissão incorreta.
Let’s Encrypt declarou em um anúncio da comunidade que os usuários que usam tlsserver e configurações de curta duração receberão certificados emitidos com base no nível da Geração Y a partir desta semana. Essa mudança também significa que os certificados opcionais de ciclo de vida curto entraram totalmente no estágio de “disponibilidade geral” e foi adicionado suporte para inclusão direta de endereços IP em certificados, fornecendo um método de implantação mais flexível para alguns cenários de uso. Os operadores de sites e prestadores de serviços que dependem do Let’s Encrypt precisarão se adaptar gradualmente a um processo de renovação automática mais frequente nos próximos anos para garantir que, embora a segurança seja aprimorada, a estabilidade do serviço não seja afetada.