Let’s Encrypt, eine Zertifizierungsstelle von öffentlichem Interesse, kündigte die Einführung einer neuen Zertifikatshierarchie der „Generation Y“ an und plant, die Standardgültigkeitsdauer von Zertifikaten in den nächsten Jahren schrittweise auf 45 Tage zu verkürzen, um die Sicherheit verschlüsselter Internetkommunikation weiter zu erhöhen. Zu dieser Reihe von Anpassungen gehört auch die Abschaffung der TLS-Client-Authentifizierung und die Umstellung der Standard-ACME-Konfiguration auf eine neue Zertifikatshierarchie.

Let’s Encrypt gab an, dass die neu aktivierte Architektur der Generation Y aus zwei neuen Stammzertifikaten (Root CA) und sechs neuen Zwischenzertifikaten (Intermediate CA) besteht. Diese neuen Zertifikate sind mit den vorhandenen Root-Zertifikaten X1 und X2 der Generation Der Beamte bekräftigte außerdem, dass die TLS-Client-Authentifizierung ab Februar 2026 eingestellt wird. Ab dem 13. Mai 2026 wird die standardmäßige klassische ACME-Konfiguration auf eine Ebene basierend auf Generation Y umgestellt und enthält keine Client-Authentifizierungsfunktion mehr. Für Benutzer, die noch umsteigen müssen, bietet Let’s Encrypt eine tlsclient-Konfiguration, die bis Mai 2026 weiterhin bestehende Root-Zertifikate der Generation X verwenden kann.

Was die Gültigkeitsdauer des Zertifikats betrifft, wird Let’s Encrypt den Lebenszyklus des Zertifikats gemäß den Grundanforderungen des CA/Browser-Forums schrittweise verkürzen. Ab 2026 wird es in eine freiwillige „Testphase“ eintreten, und Erstanwender und Testbenutzer können über die tlsserver-Konfiguration ein Zertifikat mit einer Gültigkeitsdauer von 45 Tagen auswählen. Im Jahr 2027 wird die Standardgültigkeitsdauer von Zertifikaten auf 64 Tage verkürzt, und im Jahr 2028 wird die Standardgültigkeitsdauer weiter auf 45 Tage verkürzt, wenn kurzlebige Zertifikate zur Norm werden. Beamte wiesen darauf hin, dass eine Verkürzung des Zertifikatslebenszyklus das Angriffszeitfenster verkleinern, Aktualisierungen kryptografischer Algorithmen schneller fördern und die langfristigen Auswirkungen von Problemen wie falscher Ausstellung verringern kann.

Let’s Encrypt gab in einer Community-Ankündigung an, dass Benutzer, die TLS-Server und kurzlebige Konfigurationen verwenden, ab dieser Woche Zertifikate erhalten, die auf der Ebene der Generation Y ausgestellt werden. Dieser Wechsel bedeutet auch, dass optionale Kurzlebenszykluszertifikate vollständig in die Phase der „allgemeinen Verfügbarkeit“ eingetreten sind und Unterstützung für die direkte Aufnahme von IP-Adressen in Zertifikate hinzugefügt wurde, was eine flexiblere Bereitstellungsmethode für einige Nutzungsszenarien bietet. Website-Betreiber und Dienstanbieter, die auf Let’s Encrypt setzen, müssen sich in den nächsten Jahren schrittweise auf einen häufigeren automatischen Erneuerungsprozess umstellen, um sicherzustellen, dass die Sicherheit zwar erhöht wird, die Stabilität der Dienste jedoch nicht beeinträchtigt wird.