2025-04-18 18:34
Kad Let’s Encrypt, bezmaksas sertifikātu iestāde, sāka izdot 90 dienu TLS sertifikātus vietnēm, tas tika uzskatīts par drosmīgu gājienu, kas palīdzēja ekosistēmai virzīties uz īsāku sertifikātu dzīves laiku. Iepriekš sertifikātu iestādes parasti izdeva sertifikāta kalpošanas laiku, kas ilgst gadu vai ilgāk. Izmantojot 4.0, CertBot tagad atbalsta Let’s Encrypt jauno spēju pēc sešu dienu sertifikātiem, izmantojot ACME profilus un dinamisku atjaunošanu:
1/3 no mūža palicis
1/2 no mūža palicis, ja kalpošanas laiks ir īsāks par 10 dienām
Ir daži, nozīmīgi iemesli, kāpēc īsāks laiks ir labāks:
Ja tiek apdraudēta sertifikāta privātā atslēga, kompromiss nevar ilgt tik ilgi.
Ar īsāku sertifikātu dzīves ilgumu tiek mudināta automatizācija. Kas atvieglo tīmekļa serveru stabilu drošību.
Sertifikātu atsaukšana ir vēsturiski pārslaina. Dzīves ilgums 10 dienas un neļauj novērst nepieciešamību atsaukties uz atsaukšanas procesu un tikt galā ar turpmāku kompromitētas atslēgas izmantošanu.
Ir debates par to, cik īsi vajadzētu būt šiem dzīves periodiem, bet ar ACME profiliem jums var būt noklusējuma vai “klasiskā” šifrēšanas pieredze (90 dienas) vai sākt aktīvi izmantot citus profila veidus, izmantojot CertBot ar-par-Prefered-Profile un-prasmīgu profilu karodziņiem. Sešu dienu sertifikātiem varat izvēlēties “īslaicīgu” profilu.
Šīs jaunās iespējas ir tikai sākums modernajām funkcijām, kuras ekosistēma var atbalstīt, un mēs priecājamies, ka mums ir dinamisks atjaunošanas laiks, lai sāktu piesaistīt veiklāku tīmekli, kas atvieglo labāku drošību un elastīgas iespējas ikvienam. Paldies sabiedrībai un Certbot komandai par to, ka tas notika!
https://www.eff.org/deeplinks/2025/04/ce...ived-certs
1/3 no mūža palicis
1/2 no mūža palicis, ja kalpošanas laiks ir īsāks par 10 dienām
Ir daži, nozīmīgi iemesli, kāpēc īsāks laiks ir labāks:
Ja tiek apdraudēta sertifikāta privātā atslēga, kompromiss nevar ilgt tik ilgi.
Ar īsāku sertifikātu dzīves ilgumu tiek mudināta automatizācija. Kas atvieglo tīmekļa serveru stabilu drošību.
Sertifikātu atsaukšana ir vēsturiski pārslaina. Dzīves ilgums 10 dienas un neļauj novērst nepieciešamību atsaukties uz atsaukšanas procesu un tikt galā ar turpmāku kompromitētas atslēgas izmantošanu.
Ir debates par to, cik īsi vajadzētu būt šiem dzīves periodiem, bet ar ACME profiliem jums var būt noklusējuma vai “klasiskā” šifrēšanas pieredze (90 dienas) vai sākt aktīvi izmantot citus profila veidus, izmantojot CertBot ar-par-Prefered-Profile un-prasmīgu profilu karodziņiem. Sešu dienu sertifikātiem varat izvēlēties “īslaicīgu” profilu.
Šīs jaunās iespējas ir tikai sākums modernajām funkcijām, kuras ekosistēma var atbalstīt, un mēs priecājamies, ka mums ir dinamisks atjaunošanas laiks, lai sāktu piesaistīt veiklāku tīmekli, kas atvieglo labāku drošību un elastīgas iespējas ikvienam. Paldies sabiedrībai un Certbot komandai par to, ka tas notika!
https://www.eff.org/deeplinks/2025/04/ce...ived-certs
"Kā cilvēks, kam trūkst pašcieņas, nav dīdzējs, bet nīcējs, tā arī tauta, kurai nav pašapziņas." K.Mīlenbahs