Новая иерархия сертификатов Generation Y от Let’s Encrypt

14:14, 16.12.2025

Let’s Encrypt заявили о важных обновлениях, которые касаются новой иерархии сертификатов, отказа от аутентификации клиента TLS, и планов касательно сокращения срока действия сертификатов.

Иерархия сертификатов Generation Y

Новая иерархия Generation Y состоит из 2 корневых центров сертификации и 6 промежуточных. Новые центры сертификации имеют перекрестную подпись от корневых центров поколения X, таким образом к ним сохраняется доверие.

В начале 2026 года будет прекращена поддержка аутентификация клиента TLS. Также, классический профиль ACME переключиться на новую иерархию по умолчанию 13 мая 2026 года. Для пользователей, которым еще будет нужен профиль tlsclient его можно будет использовать до мая, потому как он остается на сертификатах поколения X.

Что касается сокращения срока действия сертификатов, в следующем году первые тестировщики и пользователи смогут получить доступ к 45-дневному сертификату через tlsserver. В 2027 году запланировано сокращения срока до 64 дней, а в 2028 году – до 45 дней. Таким образом, возможно будет значительно повысить безопасность из-за ускорения криптографических обновлений и уменьшения “окна атак”.

Уже на этой недели, юзеры профилей с коротким сроком действия и tlsserver получат доступ к сертификатам поколения Y.