A Let's Encrypt, a autoridade de certificação sem fins lucrativos que celebrou recentemente uma década a facilitar o acesso à encriptação na web, anunciou um conjunto significativo de atualizações. Entre as novidades destacam-se uma nova hierarquia de certificados, a descontinuação da autenticação de cliente TLS e um plano faseado para encurtar o tempo de vida dos certificados para apenas 45 dias.
A organização revelou que gerou uma nova estrutura hierárquica denominada "Generation Y". Esta nova base consiste em duas novas Autoridades de Certificação (CAs) Raiz e seis novas CAs Intermédias. Para garantir uma transição suave e manter a confiança nos dispositivos e navegadores atuais, estas novas autoridades são assinadas de forma cruzada (cross-signed) pelas raízes "Generation X" (X1 e X2) já existentes.
Nova hierarquia e fim da autenticação de cliente
Além da reestruturação das suas raízes de confiança, a Let's Encrypt confirmou o fim planeado para a Autenticação de Cliente TLS. O processo de descontinuação deverá começar em fevereiro de 2026.
Mais tarde, a 13 de maio de 2026, o perfil ACME clássico e predefinido fará a transição para a nova hierarquia "Generation Y", deixando de suportar a Autenticação de Cliente. No entanto, a organização assegura que os utilizadores que necessitem de mais tempo para se adaptarem poderão utilizar o perfil tlsclient até maio de 2026, mantendo-se temporariamente sob a alçada das raízes "Generation X".
O caminho para certificados de 45 dias
Talvez a mudança com maior impacto na gestão de servidores e infraestruturas seja a redução gradual da validade dos certificados. A Let's Encrypt planeia encurtar o período de validade para cumprir os Requisitos Básicos do CA/Browser Forum e melhorar a segurança geral do ecossistema.
O calendário para esta transição será gradual:
2026: Fase de adesão voluntária (opt-in), onde os utilizadores pioneiros poderão testar certificados com validade de 45 dias através do perfil
tlsserver.2027: A validade predefinida dos certificados será reduzida para 64 dias.
2028: A validade predefinida passará a ser de apenas 45 dias.
Segundo a organização, a redução do tempo de vida dos certificados SSL e TLS aumenta a segurança na Internet ao diminuir a janela de oportunidade para ataques em caso de comprometimento, além de permitir uma implementação mais rápida de atualizações criptográficas.
Os utilizadores dos perfis tlsserver e short-lived começarão a ver certificados emitidos pela nova hierarquia "Generation Y" já a partir desta semana, conforme detalhado no anúncio oficial da Let's Encrypt. Esta mudança marca também a disponibilidade geral de certificados de curta duração em regime de opt-in, incluindo o suporte para endereços IP nos certificados.
Nenhum comentário
Seja o primeiro!