مرجع صدور گواهی Let’s Encrypt که یک دهه پیش برای رفع موانع سنتی هزینه و پیچیدگی دریافت گواهیهای SSL و TLS راهاندازی شد، اکنون تغییرات مهمی را اعلام کرده است. این تغییرات شامل ایجاد یک سلسلهمراتب جدید گواهی، توقف تدریجی احراز هویت TLS Client و برنامهای برای کوتاهتر شدن دوره اعتبار گواهیهاست. این سازمان غیرانتفاعی اعلام کرده سلسلهمراتب جدیدی با نام Generation Y ایجاد کرده که شامل دو مرجع ریشه (Root CA) و شش مرجع میانی (Intermediate CA) جدید است.
این مراجع جدید با ریشههای نسل X (X1 و X2) امضا شدهاند تا در هر جایی که ریشههای فعلی پذیرفته میشوند، مورد اعتماد باقی بمانند. Let’s Encrypt همچنین تأیید کرده که TLS Client Authentication از فوریه 2026 متوقف خواهد شد و پروفایل کلاسیک ACME از تاریخ 13 مه 2026 به سلسلهمراتب Generation Y بدون Client Auth منتقل میشود. در صورت نیاز به زمان بیشتر، میتوان تا مه 2026 از پروفایل tlsclient استفاده کرد که همچنان بر پایه ریشههای نسل X باقی خواهد ماند.
یکی دیگر از تغییرات بزرگ، کوتاهتر شدن دوره اعتبار گواهیهاست. Let’s Encrypt بهتدریج مدت اعتبار گواهیها را برای انطباق با الزامات CA/Browser Forum Baseline Requirements کاهش میدهد. این روند مرحلهای خواهد بود:
- سال آینده، یک مرحله اختیاری آغاز میشود که در آن کاربران پیشرو و آزمایشی میتوانند از طریق پروفایل tlsserver گواهیهای 45 روزه دریافت کنند.
- در سال 2027، مدت اعتبار گواهیها بهطور پیشفرض به 64 روز کاهش مییابد.
- در سال 2028، مدت اعتبار پیشفرض گواهیها به 45 روز کاهش خواهد یافت.
کاهش دوره اعتبار گواهیها امنیت اینترنت را افزایش میدهد؛ زیرا پنجرههای حمله کوتاهتر میشوند، بهروزرسانیهای رمزنگاری سریعتر منتشر میشوند و اثرات صدور اشتباه کاهش مییابد. Let’s Encrypt اعلام کرده کاربران پروفایلهای tlsserver و short-lived از همین هفته گواهیهایی از سلسلهمراتب Generation Y دریافت خواهند کرد. همچنین این تغییر به معنای عرضه عمومی گواهیهای کوتاهمدت اختیاری است که شامل پشتیبانی از آدرسهای IP در گواهیها نیز میشود.
