أطلقت Let's Encrypt نظام شهادات "Generation Y"، مما أدى إلى تقصير فترة الصلاحية إلى 45 يومًا

أعلنت Let's Encrypt، وهي هيئة موثقة للمصلحة العامة، عن إطلاق التسلسل الهرمي الجديد لشهادات "الجيل Y" وتخطط لتقصير فترة صلاحية الشهادة الافتراضية إلى 45 يومًا على مراحل خلال السنوات القليلة المقبلة لزيادة تعزيز أمان اتصالات الإنترنت المشفرة. تتضمن سلسلة التعديلات هذه أيضًا إيقاف مصادقة عميل TLS وتبديل تكوين ACME الافتراضي إلى تسلسل هرمي جديد للشهادات.

ذكرت Let's Encrypt أن بنية الجيل Y الممكّنة حديثًا تتكون من شهادتين جذريتين جديدتين (Root CA) وستة شهادات وسيطة جديدة (Intermediate CA). يتم التوقيع على هذه الشهادات الجديدة من خلال الشهادات الجذرية الحالية للجيل X X1 وX2، مما يضمن إمكانية الوثوق أيضًا بالبنية الجديدة واستخدامها في البيئات التي تثق حاليًا بـ X1/X2. وأكد المسؤول أيضًا أنه سيتم إنهاء مصادقة عميل TLS بدءًا من فبراير 2026. وبدءًا من 13 مايو 2026، سيتم تحويل تكوين ACME الكلاسيكي الافتراضي إلى مستوى يعتمد على الجيل Y ولم يعد يحتوي على وظيفة مصادقة العميل. بالنسبة للمستخدمين الذين ما زالوا بحاجة إلى النقل، توفر Let's Encrypt تكوين tlsclient الذي يمكنه الاستمرار في استخدام شهادات الجذر الخاصة بالجيل X الحالية حتى مايو 2026.

فيما يتعلق بفترة صلاحية الشهادة، ستقوم Let's Encrypt بتقصير دورة حياة الشهادة تدريجيًا وفقًا للمتطلبات الأساسية لمنتدى CA/Browser. بدءًا من عام 2026، ستدخل مرحلة "اختبار المياه" طوعيًا، ويمكن للمتبنين الأوائل ومستخدمي الاختبار اختيار شهادة بفترة صلاحية مدتها 45 يومًا من خلال تكوين tlsserver. في عام 2027، سيتم تخفيض فترة صلاحية الشهادة الافتراضية إلى 64 يومًا، وفي عام 2028، سيتم تخفيض فترة الصلاحية الافتراضية إلى 45 يومًا، عندما تصبح الشهادات قصيرة العمر هي القاعدة. وأشار المسؤولون إلى أن تقصير دورة حياة الشهادة يمكن أن يؤدي إلى تضييق النافذة الزمنية للهجوم، وتعزيز تحديثات خوارزمية التشفير بسرعة أكبر، وتقليل التأثير طويل المدى لمشكلات مثل الإصدار غير الصحيح.

ذكرت Let's Encrypt في إعلان المجتمع أن المستخدمين الذين يستخدمون tlsserver والتكوينات قصيرة العمر سيحصلون على شهادات تم إصدارها بناءً على مستوى الجيل Y بدءًا من هذا الأسبوع. يعني رمز التبديل هذا أيضًا أن الشهادات الاختيارية ذات دورة الحياة القصيرة قد دخلت بشكل كامل مرحلة "المتوفرة بشكل عام"، وتمت إضافة دعم لتضمين عناوين IP مباشرة في الشهادات، مما يوفر طريقة نشر أكثر مرونة لبعض سيناريوهات الاستخدام. بالنسبة لمشغلي مواقع الويب ومقدمي الخدمات الذين يعتمدون على Let’s Encrypt، سيحتاجون إلى التكيف تدريجيًا مع عملية التجديد التلقائي الأكثر تكرارًا في السنوات القليلة المقبلة لضمان عدم تأثر استقرار الخدمة أثناء تعزيز الأمان.