Let’s Encrypt — центр сертификации, который был запущен десять лет назад с целью устранить традиционные барьеры в виде высокой стоимости и сложности получения SSL- и TLS-сертификатов, — объявил о ряде крупных изменений. Среди них: новая иерархия сертификатов, отказ от TLS-аутентификации клиентов и планы по сокращению срока действия сертификатов.
Некоммерческая организация сообщила, что создала новую иерархию под названием Generation Y. В нее входят два новых корневых центра сертификации (Root CA) и шесть новых промежуточных центров (Intermediate CA). Эти новые центры сертификации имеют перекрестную подпись от существующих корней Generation X (X1 и X2), что гарантирует сохранение доверия к ним везде, где принимаются текущие корневые сертификаты.
Также Let’s Encrypt подтверждает, что поддержка TLS Client Authentication будет прекращена, начиная с февраля 2026 года. При этом классический профиль ACME по умолчанию будет переведен на иерархию Generation Y без поддержки Client Auth 13 мая 2026 года. Если пользователям потребуется дополнительное время после установленного срока, они смогут использовать профиль tlsclient до мая 2026 года — он останется привязанным к существующим корням Generation X.
Еще одно важное изменение касается сроков действия сертификатов. Let’s Encrypt планирует постепенно сокращать период их валидности, чтобы соответствовать базовым требованиям CA/Browser Forum. Переход будет происходить поэтапно. В следующем году стартует добровольная фаза: ранние пользователи и тестировщики могут по собственному желанию перейти на сертификаты сроком 45 дней через профиль tlsserver. В 2027 году, уже по умолчанию, срок действия сертификатов будет сокращен до 64 дней. Затем, в 2028 году, стандартный срок действия сертификатов по умолчанию будет снижен до 45 дней.
Сокращение срока действия сертификатов повысит безопасность интернета за счет уменьшения «окон атаки», ускорит внедрение криптографических обновлений и снизит последствия ошибочной выдачи сертификатов.
Кроме того, Let’s Encrypt сообщает, что пользователи профилей tlsserver и short-lived уже на этой неделе начнут получать сертификаты из иерархии Generation Y. Также отмечается, что этот переход означает общую доступность короткоживущих сертификатов по модели opt-in, включая поддержку IP-адресов в сертификатах.
Обновления программ, что нового
• «Яндекс» открыл бета-тестирование облачного игрового сервиса «Плюс Гейминг»
• Samsung Galaxy A07 5G заменит A06: старый процессор и новая программная платформа
• ИИндекс Яндекса на «Промптхаб» позволит пользователям отслеживать и развивать навыки работы с нейросетями
• Let’s Encrypt запускает Generation Y и готовится сократить срок действия сертификатов до 45 дней
• Honor подтвердила выход игровой серии Win с аккумулятором 10 000 мАч и активным охлаждением
• Apple выпустила первые бета-версии iOS 26.3, iPadOS 26.3 и macOS Tahoe 26.3 для разработчиков