Let's Encrypt, una autoridad certificadora de interés público, anunció el lanzamiento de una nueva jerarquía de certificados de "Generación Y" y planea acortar el período de validez del certificado predeterminado a 45 días en etapas durante los próximos años para fortalecer aún más la seguridad de las comunicaciones cifradas en Internet. Esta serie de ajustes también incluye desaprobar la autenticación del cliente TLS y cambiar la configuración ACME predeterminada a una nueva jerarquía de certificados.
Let's Encrypt declaró que la arquitectura Generación Y recientemente habilitada consta de dos nuevos certificados raíz (CA raíz) y seis nuevos certificados intermedios (CA intermedia). Estos nuevos certificados están firmados cruzadamente por los certificados raíz X1 y X2 existentes de Generación X, lo que garantiza que la nueva arquitectura también sea confiable y utilizada en entornos que actualmente confían en X1/X2. El funcionario también reiteró que su autenticación de cliente TLS finalizará a partir de febrero de 2026. A partir del 13 de mayo de 2026, la configuración ACME clásica predeterminada cambiará a un nivel basado en la Generación Y y ya no contiene la función de autenticación de cliente. Para los usuarios que aún necesitan realizar la transición, Let's Encrypt proporciona una configuración tlsclient que puede continuar usando los certificados raíz de Generación X existentes hasta mayo de 2026.
En términos del período de validez del certificado, Let's Encrypt acortará gradualmente el ciclo de vida del certificado de acuerdo con los requisitos básicos de CA/Browser Forum. A partir de 2026, entrará en una fase voluntaria de "probar el terreno", y los primeros usuarios y usuarios de prueba podrán elegir un certificado con un período de validez de 45 días a través de la configuración de tlsserver. En 2027, el período de validez predeterminado del certificado se reducirá a 64 días, y en 2028, el período de validez predeterminado se reducirá aún más a 45 días, cuando los certificados de corta duración se convertirán en la norma. Los funcionarios señalaron que acortar el ciclo de vida del certificado puede reducir la ventana de tiempo de ataque, promover actualizaciones de algoritmos criptográficos más rápidamente y reducir el impacto a largo plazo de problemas como la emisión incorrecta.
Let's Encrypt declaró en un anuncio de la comunidad que los usuarios que utilicen tlsserver y configuraciones de corta duración recibirán certificados emitidos según el nivel de Generación Y a partir de esta semana. Este cambio también significa que los certificados opcionales de ciclo de vida corto han entrado por completo en la etapa de "disponibilidad general" y se ha agregado soporte para incluir directamente direcciones IP en los certificados, lo que proporciona un método de implementación más flexible para algunos escenarios de uso. Los operadores de sitios web y proveedores de servicios que confían en Let's Encrypt tendrán que adaptarse gradualmente a un proceso de renovación automática más frecuente en los próximos años para garantizar que, si bien se mejora la seguridad, la estabilidad del servicio no se ve afectada.