Let’s Encrypt — центр сертификации, который был запущен десять лет назад с целью устранить традиционные барьеры в виде высокой стоимости и сложности получения SSL- и TLS-сертификатов, — объявил о ряде крупных изменений. Среди них: новая иерархия сертификатов, отказ от TLS-аутентификации клиентов и планы по сокращению срока действия сертификатов.
Некоммерческая организация сообщила, что создала новую иерархию под названием Generation Y. В нее входят два новых корневых центра сертификации (Root CA) и шесть новых промежуточных центров (Intermediate CA). Эти новые центры сертификации имеют перекрестную подпись от существующих корней Generation X (X1 и X2), что гарантирует сохранение доверия к ним везде, где принимаются текущие корневые сертификаты.
Также Let’s Encrypt подтверждает, что поддержка TLS Client Authentication будет прекращена, начиная с февраля 2026 года. При этом классический профиль ACME по умолчанию будет переведен на иерархию Generation Y без поддержки Client Auth 13 мая 2026 года. Если пользователям потребуется дополнительное время после установленного срока, они смогут использовать профиль tlsclient до мая 2026 года — он останется привязанным к существующим корням Generation X.
Еще одно важное изменение касается сроков действия сертификатов. Let’s Encrypt планирует постепенно сокращать период их валидности, чтобы соответствовать базовым требованиям CA/Browser Forum. Переход будет происходить поэтапно. В следующем году стартует добровольная фаза: ранние пользователи и тестировщики могут по собственному желанию перейти на сертификаты сроком 45 дней через профиль tlsserver. В 2027 году, уже по умолчанию, срок действия сертификатов будет сокращен до 64 дней. Затем, в 2028 году, стандартный срок действия сертификатов по умолчанию будет снижен до 45 дней.
Сокращение срока действия сертификатов повысит безопасность интернета за счет уменьшения «окон атаки», ускорит внедрение криптографических обновлений и снизит последствия ошибочной выдачи сертификатов.
Кроме того, Let’s Encrypt сообщает, что пользователи профилей tlsserver и short-lived уже на этой неделе начнут получать сертификаты из иерархии Generation Y. Также отмечается, что этот переход означает общую доступность короткоживущих сертификатов по модели opt-in, включая поддержку IP-адресов в сертификатах.
Обновления программ, что нового
• Spotify запустила разговорный интерфейс Talk to Spotify в бете
• Представлен REDMI Note 17 Pro с батареей 9000 мАч
• Apple выпустила публичные бета-версии iOS 27, macOS 27 Golden Gate и других новых ОС
• HUAWEI выпустила Pura 90s Pro и Pro Max с камерой на 200 Мп
• В России возникли проблемы с доступом к сайтам Google, GitHub, Apple и Samsung
• Apple выпустила пятые бета-версии iOS 26.6, iPadOS 26.6 и macOS Tahoe 26.6