أعلنت شركة Let's Encrypt أنها ستعمل تدريجيًا على تقليل فترة صلاحية شهادات TLS الموثوق بها علنًا والتي تصدرها على مدار السنوات القليلة المقبلة، من 90 يومًا حاليًا إلى 45 يومًا، مع وقت إكمال مستهدف يبلغ 2028. يعد هذا التعديل تغييرًا على مستوى الصناعة مدفوعًا بمتطلبات خط الأساس التي وضعها CA/Browser Forum، وستتبنى جميع سلطات التصديق الموثوقة ممارسات مماثلة لتحسين الأمان العام للإنترنت عن طريق تقصير دورة حياة الشهادة، والحد من نطاق المخاطر مثل المفاتيح. التسرب، وتحسين كفاءة آليات الإلغاء.
بالإضافة إلى فترة صلاحية الشهادة نفسها، ستعمل Let's Encrypt أيضًا على تقصير فترة إعادة استخدام نتائج التحقق من التحكم في اسم النطاق (فترة إعادة استخدام التفويض)، أي بعد الانتهاء من التحقق من التحكم في اسم النطاق، ما هي مدة النافذة المسموح بها لمواصلة إصدار الشهادات بناءً على هذا التحقق. يبلغ هذا الطول حاليًا 30 يومًا، مع خطط لتشديده إلى سبع ساعات فقط بحلول عام 2028، مما يتسبب في الحاجة إلى إعادة التحقق من صحة عناصر التحكم في النطاق بشكل متكرر لتقليل مخاطر إساءة استخدام التراخيص طويلة الأمد.
ولتقليل التأثير على المستخدمين الحاليين، ستقوم Let’s Encrypt بتنفيذ هذه التغييرات على مراحل ومنح المستخدمين التحكم في توقيت التبديل من جانب العميل من خلال ملفات تعريف ACME. يوضح الجدول الرسمي ما يلي: بدءًا من 13 مايو 2026، سيكون ملف تعريف tlsserver الاختياري هو أول من يصدر شهادة مدتها 45 يومًا؛ وفي 10 فبراير 2027، سيتم تغيير ملف التعريف الكلاسيكي الافتراضي لإصدار شهادة مدتها 64 يومًا وسيتم اختصار فترة إعادة استخدام التفويض إلى 10 أيام؛ بحلول 16 فبراير 2028، سيتم تعديل ملف التعريف الكلاسيكي بشكل أكبر إلى شهادة مدتها 45 يومًا وشهادة مدتها 7 أيام. فترة إعادة استخدام الترخيص لمدة ساعة. تؤثر هذه التواريخ فقط على الشهادات الصادرة حديثًا، وسيواجه المستخدمون تدريجيًا فترة صلاحية أقصر أثناء عمليات التجديد التلقائي اللاحقة.
بالنسبة لمعظم المستخدمين الذين يعتمدون بالفعل على الوسائل الآلية للحصول على الشهادات وتجديدها، يعتقد المسؤولون أن التعديلات الرئيسية ليست مطلوبة بشكل عام، لكنهم يوصون بالتحقق مما إذا كانت العمليات الآلية الحالية يمكنها استيعاب فترات صلاحية أقصر. توصي Let's Encrypt بأن يدعم عميل ACME ويمكّن آلية تجديد معلومات ACME (ARI) حتى يتمكن العميل من معرفة وقت التجديد المناسب. إذا كان العميل لا يدعم حاليًا ARI، فيجب عليه التأكد من أن تكرار جدولة التجديد مرتفع بدرجة كافية. على سبيل المثال، تجنب استخدام إستراتيجية "التجديد الثابت لمدة 60 يومًا" وبدلاً من ذلك اختر تشغيل مهمة التجديد عند ثلثي دورة حياة الشهادة تقريبًا. لا يُنصح صراحةً بالتجديد اليدوي لأنه يصبح أكثر تكرارًا وعرضة للخطأ نظرًا لتقصير دورة حياة الشهادة.
وشدد المسؤول أيضًا على أن فريق التشغيل والصيانة يجب أن يتأكد من أن لديه آليات مراقبة وإنذار كافية. بمجرد عدم تجديد الشهادة كما هو متوقع، يمكن للنظام إصدار تذكيرات سريعة لتجنب انقطاع الخدمة أو المخاطر الأمنية. تسرد Let's Encrypt مجموعة متنوعة من حلول المراقبة التابعة لجهات خارجية والمبنية ذاتيًا على موقعها الإلكتروني للمستخدمين لاختيار مجموعة مناسبة من خدمات المراقبة للتكيف مع متطلبات التشغيل والصيانة الناتجة عن دورة حياة الشهادة الأقصر.
وبالنظر إلى أن تقصير فترة صلاحية الشهادة وفترة إعادة استخدام التفويض سيجبر المستخدمين على إثبات التحكم في اسم النطاق بشكل متكرر، تعمل Let's Encrypt أيضًا على الترويج لآليات تحقق جديدة لتقليل صعوبة الأتمتة. تتطلب تحديات HTTP-01 وTLS-ALPN-01 وDNS-01 الحالية في بروتوكول ACME عادةً أن يكون لدى عميل ACME أذونات تشغيلية في الوقت الفعلي لخادم الويب أو البنية التحتية لنظام DNS في كل وقت مصادقة، مما يفرض تحديات من حيث العزل الأمني وتقليل الأذونات. ولتحقيق هذه الغاية، تعمل Let's Encrypt مع CA/Browser Forum وIETF لتوحيد DNS-PERSIST-01، الذي تتمثل فائدته الأساسية في أن سجل DNS TXT المستخدم لإثبات التحكم في اسم النطاق لا يحتاج إلى التغيير بشكل متكرر أثناء عمليات التجديد اللاحقة.
بمجرد توفر DNS-PERSIST-01، يمكن للمستخدمين إعداد سجلات DNS مرة واحدة ثم تحقيق التجديد التلقائي على المدى الطويل دون تحديث تكوين DNS تلقائيًا، مما يساعد المزيد من المؤسسات على إكمال النشر الآلي للشهادات دون تخفيف الوصول إلى البنية التحتية. وفي الوقت نفسه، يقلل هذا النهج أيضًا من الاعتماد على "فترة إعادة استخدام التفويض" نفسها، لأن سجلات DNS طويلة المدى التي لم تتغير يمكن أن تستمر في دعم التحقق من التحكم في اسم المجال دون الحاجة إلى تدخل عملاء ACME بشكل متكرر في تحديثات التكوين. وتتوقع Let's Encrypt أن يكون هذا النوع الجديد من التحدي متاحًا للمستخدمين في عام 2026، وقالت إنها ستعلن عن المزيد من التفاصيل وإرشادات التنفيذ مع اقتراب موعد الإطلاق.
تدعو Let's Encrypt المستخدمين الذين يحتاجون إلى إعلامهم بالتغييرات التقنية في الوقت المناسب للاشتراك في القائمة البريدية للتحديث الفني لتلقي أحدث الإشعارات والتذكيرات حول تعديلات صلاحية الشهادة، وتغييرات آلية التحقق، وما إلى ذلك. إذا كانت لدى المستخدمين أسئلة محددة، فيمكنهم الانتقال إلى منتدى المجتمع الرسمي للتواصل وطلب المساعدة؛ إذا كانوا يريدون فهم التقدم الذي أحرزته Let's Encrypt والمنظمة الأم Internet Security Research Group (ISRG) غير الربحية في مشاريع أوسع لأمن الإنترنت والخصوصية، فيمكنهم التحقق من التقرير السنوي الذي تم إصداره حديثًا.