Let's Encrypt ha anunciado que reducirá gradualmente el período de validez de los certificados TLS de confianza pública que emite en los próximos años, de los 90 días actuales a 45 días, con un tiempo de finalización previsto para 2028. Este ajuste es un cambio en toda la industria impulsado por los requisitos básicos establecidos por CA/Browser Forum, y todas las autoridades certificadoras confiables adoptarán prácticas similares para mejorar la seguridad general de Internet al acortar el ciclo de vida del certificado, limitando el alcance de riesgos como la clave. fugas y mejorar la eficiencia de los mecanismos de revocación.
Además del período de validez del certificado en sí, Let's Encrypt también acortará significativamente el período de reutilización de los resultados de la verificación del control de nombres de dominio (período de reutilización de autorización), es decir, después de completar una verificación de control de nombres de dominio, ¿cuánto tiempo se permite el período de ventana para continuar emitiendo certificados basados en esta verificación? Esta duración es actualmente de 30 días, con planes de reducirla a solo siete horas para 2028, lo que hará que los controles de dominio deban revalidarse con más frecuencia para reducir el riesgo de abuso de autorizaciones de larga data.
Para minimizar el impacto en los usuarios existentes, Let's Encrypt implementará estos cambios en fases y brindará a los usuarios control sobre el momento del cambio en el lado del cliente a través de perfiles ACME. El calendario oficial muestra: a partir del 13 de mayo de 2026, el perfil opcional tlsserver será el primero en emitir un certificado de 45 días; el 10 de febrero de 2027, se cambiará el perfil clásico predeterminado para emitir un certificado de 64 días y el período de reutilización de la autorización se reducirá a 10 días; para el 16 de febrero de 2028, el perfil clásico se ajustará aún más a un certificado de 45 días y un certificado de 7 días. período de reutilización de la licencia de una hora. Estas fechas solo afectan a los certificados recién emitidos y los usuarios experimentarán gradualmente un período de validez más corto durante las renovaciones automáticas posteriores.
Para la mayoría de los usuarios que ya dependen de medios automatizados para obtener y renovar certificados, los funcionarios creen que generalmente no se requieren modificaciones importantes, pero recomiendan verificar si los procesos automatizados existentes pueden adaptarse a períodos de validez más cortos. Let's Encrypt recomienda que el cliente ACME admita y habilite el mecanismo de información de renovación ACME (ARI) para que el cliente pueda conocer el momento de renovación adecuado. Si el cliente actualmente no admite ARI, debe asegurarse de que la frecuencia de programación de renovación sea lo suficientemente alta. Por ejemplo, evite utilizar la estrategia de "renovación fija de 60 días" y, en su lugar, elija activar la tarea de renovación en aproximadamente dos tercios del ciclo de vida del certificado. No se recomienda expresamente la renovación manual, ya que se vuelve más frecuente y propensa a errores a medida que se acorta aún más el ciclo de vida del certificado.
El funcionario también enfatizó que el equipo de operación y mantenimiento debe asegurarse de contar con mecanismos adecuados de monitoreo y alerta. Una vez que el certificado no se renueva como se esperaba, el sistema puede emitir recordatorios rápidos para evitar interrupciones del servicio o riesgos de seguridad. Let's Encrypt enumera una variedad de soluciones de monitoreo de terceros y de creación propia en su sitio web para que los usuarios elijan una combinación adecuada de servicios de monitoreo para adaptarse a los requisitos de operación y mantenimiento generados por un ciclo de vida de certificado más corto.
Teniendo en cuenta que acortar el período de validez del certificado y el período de reutilización de la autorización obligará a los usuarios a demostrar el control del nombre de dominio con mayor frecuencia, Let's Encrypt también está promoviendo nuevos mecanismos de verificación para reducir la dificultad de la automatización. Los desafíos actuales HTTP-01, TLS-ALPN-01 y DNS-01 en el protocolo ACME generalmente requieren que el cliente ACME tenga permisos operativos en tiempo real para el servidor web o la infraestructura DNS en cada momento de autenticación, lo que plantea desafíos en términos de aislamiento de seguridad y minimización de permisos. Con este fin, Let's Encrypt está trabajando con CA/Browser Forum y el IETF para estandarizar DNS-PERSIST-01, cuyo principal beneficio es que el registro DNS TXT utilizado para demostrar el control de un nombre de dominio no necesita cambiar con frecuencia durante renovaciones posteriores.
Una vez que DNS-PERSIST-01 esté disponible, los usuarios pueden configurar registros DNS una vez y luego lograr la renovación automática a largo plazo sin actualizar automáticamente la configuración DNS, lo que ayuda a más organizaciones a completar la implementación automatizada de certificados sin relajar el acceso a la infraestructura. Al mismo tiempo, este enfoque también reduce la dependencia del "período de reutilización de la autorización" en sí, porque los registros DNS sin cambios a largo plazo pueden continuar admitiendo la verificación del control de nombres de dominio sin la necesidad de que los clientes ACME intervengan repetidamente en las actualizaciones de configuración. Let's Encrypt espera que este nuevo tipo de desafío esté disponible para los usuarios en 2026 y dijo que anunciará más detalles y pautas de implementación cuando se acerque el lanzamiento.
Let's Encrypt pide a los usuarios que necesitan estar informados sobre los cambios técnicos de manera oportuna a suscribirse a su lista de correo de actualizaciones técnicas para recibir las últimas notificaciones y recordatorios sobre ajustes de validez de certificados, cambios en el mecanismo de verificación, etc. Si los usuarios tienen preguntas específicas, pueden ir al foro oficial de la comunidad para comunicarse y buscar ayuda; Si quieren comprender el progreso de Let's Encrypt y su organización matriz sin fines de lucro Internet Security Research Group (ISRG) en proyectos más amplios de seguridad y privacidad de Internet, pueden consultar el informe anual recientemente publicado.