Когда Let’s Encrypt в 2015 году массово распространил автоматические TLS-сертификаты, интернет в буквальном смысле стал безопаснее.
Но теперь главный бесплатный сертификатный центр делает следующий шаг: к 2028 году TLS-сертификаты будут жить всего 45 дней, а повторная авторизация домена будет действовать всего 7 часов.
Это звучит как головная боль для админов и разработчиков. Но на самом деле — это часть большой эволюции протоколов безопасности, где старый подход к сертификатам больше не справляется.
Разберёмся, что происходит и почему это важно.
🔐 Почему срок жизни сертификатов сокращают вдвое
Исторически TLS-сертификаты жили:
- 5 лет
- потом 3 года
- потом 825 дней
- потом 398 дней (правила Apple и Google)
- а Let’s Encrypt сделал стандартом 90 дней
Теперь весь рынок переходит к 45 дням.
Причины изменения:
🧨 1. Снижение ущерба от украденных ключей
Чем меньше срок жизни сертификата, тем меньше окно для атаки:
- украденный ключ живёт недолго
- вредоносный сервер не сможет «маскироваться» месяцами
- злоумышленнику приходится действовать в более узких временных рамках
♻️ 2. Улучшение механизмов отзыва
CRL и OCSP традиционно слабо работают в интернете.
Решение простое:
если сертификат живёт всего 45 дней, его проще «переждать», чем отзывать.
🤖 3. Технологии автоматизации уже достаточно зрелые
Люди уже не должны вручную продлевать сертификаты —
ACME давно стал стандартом автоматизации.
Так что сокращение срока жизни — это не усложнение, а логическое продолжение идеи Let’s Encrypt:
сертификаты должны обновляться автоматически и незаметно.
📅 Как будет проходить переход
Переход мягкий и очень длинный — на три года вперёд.
- 🧪 13 мая 2026 — опциональный профиль 45 дней (для тестов)
- 🔁 10 февраля 2027 — стандартный срок станет 64 дня
- 🎯 16 февраля 2028 — все сертификаты будут жить 45 дней, авторизация домена — 7 часов
То есть скачок не резкий — инфраструктуре дают время адаптироваться.
🛠 Что придётся сделать разработчикам и администраторам
Большинству пользователей — ничего, если автоматизация корректная.
Но есть важные детали.
🧩 1. Проверить расписание обновления сертификатов
Нельзя использовать старые подходы наподобие:
- «обновлять каждые 60 дней»
- «переиздавать раз в месяц вручную»
С 45-дневным сроком это приведёт к летальным ошибкам.
📡 2. Включить ACME Renewal Information (ARI)
Это новый механизм Let’s Encrypt, который:
- сообщает клиенту, когда именно нужно обновить сертификат
- предотвращает лишние перегенерации
- снижает риск пропуска срока
ARI — лучший способ адаптироваться к коротким срокам.
📈 3. Настроить мониторинг
Если автоматизация сломается, TLS-сертификат теперь «истечёт» вдвое быстрее.
Нужен алертинг:
- 📬 Email
- 📱 Telegram / Slack
- 🛠 Prometheus / Grafana
- 🔐 Security-системы
🌐 Валидация домена: готовится революция
Самое интересное нововведение — даже не сокращение сроков, а новый тип проверки домена:
🆕 DNS-PERSIST-01 (ожидается в 2026 году)
Это валидация, где DNS TXT-запись:
- создаётся один раз
- больше никогда не меняется
- подходит для всех будущих продлений
То есть:
🤯 больше не нужно автоматизировать обновление DNS
Вы просто прописываете TXT-запись один раз и забываете о ней.
Это огромный прорыв для:
- облаков
- статических сайтов
- IoT-устройств
- embedded-систем
- инфраструктур, где нет API доступа к DNS
Фактически это первый ACME-метод, не требующий доступа к серверу или DNS при каждом обновлении.
💭 Моё мнение: интернет станет безопаснее… и честнее
Ход Let’s Encrypt — это не попытка усложнить жизнь DevOps-инженерам.
Это признание факта:
- 🔐 ключи постоянно утекали
- 🌍 revocation не работал так, как должен
- 📉 долгоживущие сертификаты стали риском
- 🤖 автоматизация стала нормой
Сокращение сроков — шаг, который выравнивает баланс между безопасностью и удобством.
А DNS-PERSIST-01 вообще может стать самой важной ACME-инновацией со времён Let’s Encrypt.
К 2028 году обновление сертификатов перестанет быть проблемой.
Но нужно уже сейчас проверить, что ваша инфраструктура к этому готова.
📎 Источники
- Официальный анонс Let’s Encrypt (2025):
https://letsencrypt.org/2025/12/02/from-90-to-45.html