Сначала новость кратко: Let's Encrypt собирается постепенно сократить срок жизни сертификатов с 90 до 45 дней. Это решение знаменует собой очередной этап в эволюции стандартов безопасности веба, в которой, да, изначально всё началось с гораздо более длительных сроков действия сертификатов. Еще в 2015 году сертификаты могли действовать до 5 лет, но по мере роста угроз и появления новых уязвимостей в криптографических алгоритмах индустрия постепенно переходит к более коротким срокам.
Некоммерческий центр Let's Encrypt, выдавший более 3 миллиардов бесплатных сертификатов, объявил поэтапную реформу. С 13 мая 2026 года появится (пока как опция) возможность получения 45-дневных сертификатов. Далее, 10 февраля 2027 года максимальный срок сократится до 64 дней, а к 16 февраля 2028 года — до финальных 45 дней.
...но это не всё!
Главная инновация, по мысли авторов — уменьшение периода авторизации. Если сегодня, подтвердив владение доменом, вы можете получать сертификаты 30 дней без повторных проверок, то с 2027 года этот срок снизится до 10 дней, а с 2028 — до 7 часов. Почему именно 7 часов? Это время, достаточное для автоматического обновления даже в глобальных распределенных системах, но слишком короткое, чтобы злоумышленник, получивший временный доступ к домену, мог полноценно "разгуляться", и причинить много бед.
Инициатор изменений — CA/Browser Forum, объединение разработчиков браузеров и удостоверяющих центров. Их решение: после марта 2029 года браузеры будут отклонять новые сертификаты со сроком больше 47 дней, показывая ошибку ERR_CERT_VALIDITY_TOO_LONG. Старые сертификаты продолжат работать до истечения срока, поскольку это крайне важно для предприятий с тысячами устройств. Но новые выпуски должны соответствовать стандартам.
Зачем все это? Рассмотрим реальный инцидент 2020 года: утечка сертификатов из-за уязвимости в алгоритме SHA-1. Если бы срок действия был короче, злоумышленники не смогли бы использовать их месяцы. Короткоживущие сертификаты — как одноразовые пароли: даже если их украли, ущерб ограничен. По данным исследования Google, сокращение срока с 90 до 45 дней уменьшает «окно атаки» на 65%.
Для администраторов это означает одно: ручное обновление сертификатов, если кто-то им и занимался до сих пор, уходит в прошлое. «Если вы все еще копируете сертификаты через SSH — пора менять подход», — предупреждает команда Let's Encrypt. Решение — автоматизация. Инструменты вроде Certbot и acme.sh, кстати, уже поддерживают расширение ARI (ACME Renewal Information). Оно позволяет серверу сообщать клиенту: "Обновись в ближайшие 12 часов, когда нагрузка минимальна" - что предотвращает перегрузку центра сертификации от многих тысяч серверов в час пик.
Хозяйке на заметку
Практический совет: настройте мониторинг. Вот команда, которая покажет срок действия сертификата:
openssl x509 -enddate -noout -in /path/to/cert.pemДля сertbot достаточно такой cron-задачи:
0 2 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"А для acme.sh, который многие предпочитают за легковесность и гибкость, команда выглядит так:
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/nullНо что если автоматизация сломается? Например, из-за DDoS-атаки на ACME-серверы Let's Encrypt. Для этого нужны резервные каналы: зеркальные ACME-эндпоинты или локальное кеширование. Встроенные системы и IoT-устройства — особая проблема. Многие роутеры и камеры обновляются раз в сто лет, и ходить на них раз месяц с обновлением сертификата никто не станет, так что решением предлагается прокси-архитектура: TLS-терминация на шлюзе, а устройства используют внутренние сертификаты, выпущенные внутренним ЦС.
Революция в авторизации придет с DNS-PERSIST-01 в 2026 году. В отличие от текущих методов HTTP-01 (для которого требует веб-сервер; он, однако, не подходит для получения/продления wildcard-доменов) и DNS-01 (а ему нужен DNS с API), новый подход не требует замены проверочной ДНС-записи при каждой проверки, её нужно будет завести один раз. Например, корректная соответствующая TXT-запись может выглядеть так:
_validation-persist.example.com. IN TXT "authority.example; accounturi=https://ca.example/acct/123"После добавления этой статичной записи ACME-клиенты смогут подтверждать домен без доступа к инфраструктуре. Запись не придётся менять на лету, как сегодня, это спасение для банков и госучреждений, где доступ к DNS регламентирован.
Лучше перебдеть, чем...
Но технологии — лишь половина дела. Человеческий фактор критичен. Маркетологи регистрируют домены для кампаний и забывают их. DevOps‑инженеры настраивают автоматизацию в спешке. Инцидент 2022 года: крупный банк потерял 200 доменов из‑за непродленных сертификатов после слияния компаний. Проверьте сегодня:
Все ли домены в вашем реестре покрыты автоматическим обновлением?
Получают ли администраторы уведомления за 14 дней до истечения срока?
Протестирована ли процедура восстановления при отказе ACME‑сервера?
Staging‑окружение Let's Encrypt (https://acme‑staging‑v02.api.letsencrypt.org) позволяет безопасно проверить сценарии отказа. Используйте его перед внесением изменений в продакшн.
Почему это важно для обычного пользователя? Короткоживующие сертификаты защищают от фишинга. Если мошенники украдут сертификат банка, они смогут подделать сайт лишь на полтора месяца вместо трех. Это сокращает время на обнаружение атаки и снижает потери жертв.
Переход потребует усилий, но результат того стоит. Как сказал один из основателей Let's Encrypt: «Мы строим не просто защищенный интернет, а устойчивый к человеческим ошибкам». Пусть это и выглядит несколько наивным, но цель в том, чтобы к 2029 году все сайты жили бы по новым правилам — короткие сроки действия, частые проверки, автоматическое обновление. Инфраструктура, созданная для скорости, наконец, научится оперативно реагировать на угрозы. И хотя администраторам придется перестроить процессы, безопасность миллионов пользователей стоит этих хлопот.
Здесь нужно написать в побудительной рекламной стилитика: «Начните действовать уже сегодня!» — как раз будет время обновить certbot или acme.sh до последней версии, настроить мониторинг (если вдруг не) и почитать про ARI. Как говорят апологеты этого изменения, будущее интернета — в автоматизации и ответственности!
А ведь говорили про 47 дней?
Хотя ассоциация CA/Browser Forum предлагала срок в 47 дней, Let's Encrypt решили сокращать срок действия еще больше, до 45. Почему? Я нашел две причины: техническую и психологическую.
Уменьшение сроков в 2 раза (с текущий 90 суток до планируемых 45 суток) удобна самой LE — клиенты за обновлением продолжат приходить в те же дни, что раньше (а к этому количеству запросов в LE уже готовы), плюс добавятся запросы «между» старыми точками обновлений (это они ожидают выдержить). Вариант с 47 сутками, как ни странно, создаст ненужные «горбы» на графиках числа запросов.
Психологическая причина: 45 дней = ровно половина от исходных 90 дней. Это создает четкое и хорошо запоминаемое правило в голове администраторов: «обновляй сертификат каждые полтора месяца». 47 дней — число, которое сложнее запомнить и планировать.
Удачи нам всем! Хотя март 2029 года кажется таким далеким моментом, времени, как мы знаем из опыта, только‑только хватит, чтобы еще раз пробежаться по своей инфраструктуре, и подготовиться к новым правилам игры.
Комментарии (37)
uranik
02.12.2025 23:04В то время как платные сертификаты как выдавались на год так и выдаются, похоже просто прикрываются "уязвимостями в криптографических алгоритмах", а дело в другом.
PereslavlFoto
02.12.2025 23:04ручное обновление сертификатов, если кто-то им и занимался до сих пор, уходит в прошлое
Однако удобного средства для обновления LE сертификатов на Windows XP или Windows 2003 до сих пор не существует.
Dimon41
02.12.2025 23:04Если злоумышленники украли сертификат, то они украдут новый через 45 дней. Да и 45 дней хватит что бы банк вынести. Бесполезная вещь.
mc2
02.12.2025 23:04Теперь бы Apache и nginx сделали обновление сертификатов без рестарта сервера...
johndow
02.12.2025 23:04nginx не нужен рестарт. только reload конфигурации
mc2
02.12.2025 23:04reload конфигурации череват перезапуском внутренних модулей, которые могут иметь свои форки, что приведет к их рестарту.
плюс я указывал Apache, в котором часть вещей тоже перезапускается при graceful (у меня есть случай работающих сервисов под апачем: после graceful, запускаются они порядка 15 минут, обойти ограничение нет возможности, т.к. производитель так решил сделать свой код).
alexkuzko
02.12.2025 23:04Я хоть и не амбассадор Angie, но там они вкрутили свой клиент для обновления сертификатов. Как только введут возможность постоянной авторизации через DNS так должно стать лучше чем сейчас...
aik
02.12.2025 23:04Сперва совместными усилиями убили http, теперь добивают https.
Есть куча сайтов, которым эти сертификаты нафиг не нужны. Но всё равно приходится прикручивать, иначе ни поисковик туда не пойдёт, ни браузер...
achekalin Автор
02.12.2025 23:04Да раньше было довольно много сайтов просто на IP, и их поисковики индексировали вполне себе - а сейчас на такой и зайти... Браузер взвоет, а на IP серт не выпустить.
nik_the_spirit
02.12.2025 23:04Сам же LE чуть ранее в этом году начал выпускать сертификаты для IP. https://letsencrypt.org/2025/07/01/issuing-our-first-ip-address-certificate
Belibak
02.12.2025 23:04Да как-то не очень оно хочет работать, может у вас есть какие-то рабочие параметры?
pic
aik
02.12.2025 23:04Ну, доменное имя получить сегодня просто, особенно если не нужен второго уровня домен. Так что сайты на IP - проблема меньшая, чем повсеместный https.
Сейчас на некоторых браузерах ведь и кнопку "игнорировать просроченный сертификат/отсутствие" теперь не так просто найти, как-то с файрфоксом боролся.
achekalin Автор
02.12.2025 23:04Я вспоминаю своё удивление, когда увидел в первый раз, как хром перешел от политики "если юзер проигнорил ошибку серта, то ок" к политике "несколько дней ок, потом снова спросим".
Т.е. они решили, что, если у меня self-signed, и я нажал в Хроме "простить и пустить", то это решение нужно помнить этак с неделю, а потом снова спросить. Ну да, вдруг я тогда погорячился? В итоге, висит на стене пара 50" телевизоров, на них сводные экраны заббикса выводятся (там один nettop подключен к ним, на неттопе какая-то завалявшаяся винда, и хром; потому что встроенные браузеры на телеках просто очень неадекватно занимают часть экрана своим оформлением), и вдруг, при очередном обновлении экрана - БАЦ - вопрос о сертификате. Чудесно!
Belibak
02.12.2025 23:04В порядке бреда.
Можно попробовать хром запускать с помощью selenium webdriver из питона или из явы какой-нибудь.
Там же и обновлять можно раз в какое-то время, чтоб ахтунг словить, в нерабочее время например...
Что-нибудь вроде
from selenium import webdriver from selenium.webdriver.common.desired_capabilities import DesiredCapabilities capabilities = DesiredCapabilities.CHROME.copy() capabilities['acceptInsecureCerts'] = True driver = webdriver.Chrome(desired_capabilities=capabilities) driver.get('https://blabla.bla')
Korneliy
02.12.2025 23:04Хотя ассоциация CA/Browser Forum предлагала срок в 47 дней, Let's Encrypt решили сокращать срок действия еще больше, до 45. Почему?
Технически срок в 45 дней не делится на 7, а, значит, не станет создавать нагрузку каждый раз в тот же день недели - инфраструктуре Let's Encrypt будет проще выдержать такое.
Отличный повод поменять с 47 на 45! Ведь всем давным-давно известно, что 47 делится на 7 без остатка.
remzalp
02.12.2025 23:04Бред.
1. Добавляют массовую точку отказа, которая если чихнёт - весь мир заметит и быстро
2. Удобное место для приложения шантажа "а теперь сделаем серты платными или у вас всё отвалится". LetsEncrypt постепенно становится незаменимым для очень большого числа сайтов
3. Злоумышленник и на самом сервере вполне неплохо может сидеть и причинять добро, но с полноценным сертом, так что не довод про владение доменом.
4. Настала пора забэкапить нормальный браузер, потому что к куче железяк и так уже сложно подцепиться (activex для настройки камеры видеонаблюдения, купленной год назад например, или скада системы, которые должны работать в глубокой локалке, но с вебмордой)achekalin Автор
02.12.2025 23:04Точки отказа в этом не особо видно. По сути, серты всегда были за деньги, тут появилась компания, которая их выдает бесплатно, на своих условиях - но она свою способность выдержать нагрузку доказала (причем, штат у них небольшой). Но понятно, что они работают небесплатно, и что за работу им платят спонсоры (тот же Гугл). Они, большие эти ребята, тоже и хотели бы контроля, но единую точку отказа устраивать не в их целях (реклама встанет, минимум!).
Сдохнет LE - купите платный, не так они дорого стоят. В России выбор регистраторов широкий, из одного, в "мире", конечно, куда шире.
А вот браузер старый хранить на отдельной ВМ - прямо неглупо. Вместе с ОС того времени, и, лучше всего, не ставя обновления, от греха. И молясь. А то, вот, CentOS 6 сегодня не обновить, потому что openssl либы в её поставке старые, а репы, как на зло, уже все по 1.1 и 1.2 минимум работают - и yum просто обламывается на такие репы зайти.
remzalp
02.12.2025 23:04Если сдохнет до обновления старый серт сейчас - большая вероятность, что будет время купить - обычно настраивают ежемесячное обновление. При сроке действия в 7 часов? Под вечер? Утром сайт превращается в тыкву.
achekalin Автор
02.12.2025 23:04Простите, о каких 7 часах Вы говорите? Снижение будет с 90 до 45 дней.
Если бы (уже) сегодня LE серты были бы на 45 дней (или даже на 30), то наши с вами переживания уперлись бы в мониторинг.
Я не очень много видел бесплатных сервисов, в которые можно закинуть список доменов и сертов, и чтобы они присылали (в телегу, скажем) алерты, что домен истекатает через 23 дня, или что серту меньше 19 дней жить осталось.
Но, положа руку на сердце, даже годичные сроки без мониторинга не спасут, банально можно забыть продлить (если руками) и — ой!
remzalp
02.12.2025 23:04а с 2028 — до 7 часовachekalin Автор
02.12.2025 23:04Т.е. Вам дается 7 часов на подтверждение вашего права на выпуск/перевыпуск серта. Т.е. даже если вручную проводить выпуск серта, то за 7 часов Вы точно успеете завести в DNS проверочную запись (это если Вы по DNS-01 подтверждаете; если перейти на DNS‑PERSIST-01 — то нужную запись заведёте в ДНС один раз, и всё) или на веб‑сервере в нужном каталоге файлик проверочный создадите.
Успеете — выдастся серт на 45 суток.
Кстати, есть про веб‑сервер и файлик — просто делаете отдельный location в том же nginx, и всё, «само работает»:
напр.
server { ... location ~ ^/\.well-known/acme-challenge/([-_a-zA-Z0-9]+)$ { default_type text/plain; return 200 "$1.6fXAG9VyG0IahirPEU2ZerUtItW2DHzDzD9wZaEKpqd"; ... } }
remzalp
02.12.2025 23:04прошу прощения, невнимательно прочитал планы - прочитал, что срок SSL сертификата к 2028 году снизят до 7 часов. Перечитал - только подтверждение владения доменом, а это при обычном сценарии уже и так быстро отрабатывает
vened
02.12.2025 23:0447 дней — иррациональное число, которое сложнее запомнить и планировать
(Я так понимаю, про «47 и 45 дней» – это, не иначе, результат «работы» LLM; потому что – ну как ещё может 47 стать «иррациональным числом»?)
Справедливости ради: с точки зрения балансировки нагрузки – нет разницы в том, какой срок действия у сертификатов. Всё зависит от того, в какой день УЦ выпустил много сертификатов (с одинаковым сроком действия, понятно). Много выпустили – можно ожидать, что много клиентов придёт за новыми почти одновременно.
То есть, если клиенты строго отсчитывают время похода за обновлением от начала действия имеющегося сертификата (пусть это будет N дней ровно), то, выпустив в какой-то день D много сертификатов, УЦ получит прирост запросов в момент D + N. Нет разницы, делится ли срок действия сертификата на 7. Ну и в последний день обновлять сертификаты – не очень хорошая идея, нужно это делать заранее.
Всё это давно обдумано без LLM и SMS, поэтому для ACME-УЦ есть специальный механизм: ACME Renewal Information (ARI) Extension называется. Вот через ARI ACME-клиент может узнать, когда лучше (по мнению систем УЦ) прийти за обновлением, ну а УЦ - может управлять нагрузкой, не используя, так сказать, мнимых «иррациональных» чисел.
achekalin Автор
02.12.2025 23:04Про горбики нагрузки я писал, да, и про ARI указано - главное, чтобы и клиенты "умели ARI". Так понимаю, что certbot уже научен, а вот всякие сопутствующие клиенты (скажем, закостыленный dehydrated, замурованный в bitrix-env, или клиенты в веб-серверах, которые сами умеют серты получать, тот же angie, а также множество докер-образов "мама, я прокси на все случаи жизни") - вот там могут быть и курьёзы.
В любом случае, переход на кратное 90 дням (я про 45) срок обновления вроде бы не должен сильно поменять картину числа запросов (точнее, должен бы кратно её масштабировать), посмотрим (точнее, LE посмотрит)!
ifap
02.12.2025 23:04Если бы срок действия был короче, злоумышленники не смогли бы использовать их месяцы.
Ну да CRL/OCSP же не существовало тогда /sarcasm А OCSP теперь не будет существовать, хотя OCSP Must Staple как раз решал проблему клмпрометации сертификата/сервера и его можно было обновлять хоть раз в час.
BigBrother
Интересное обоснование техническое, но не прокатит: 47 тоже не делится на 7.
achekalin Автор
Отвечу «на бегу», но — там довольно логичная математика, привязанная к тому, что при сроке в 45 суток и обращении за новым с разумным зазором до конца срока действия старого серта — так вот с 45 сутками жизни серта, как ни странно, распределение нагрузки получится чуть более ровным, чем с 47 сутками.
achekalin Автор
Кратность сроков в 90 суток (текущий срок) и 45 суток (новый срок) удобна самой LE - клиенты за обновлением продолжат приходить в те же дни, что раньше (а к этому количеству запросов они уже готовы), плюс добавятся запросы "между" старыми точками обновлений (это они ожидают выдержить).
Вариант в 47 дней (т.е. +2 дня) сильной погоды клиентам не сделает, а вот график нагрузки на инфраструктуру LE переколбасит сильно.
Внесу это в статью