Neue Zertifikatshierarchie der Generation Y von Let’s Encrypt

Let’s Encrypt hat wichtige Neuerungen angekündigt, die eine neue Zertifikatshierarchie, den Verzicht auf TLS-Client-Authentifizierung und Pläne zur Verkürzung der Gültigkeitsdauer von Zertifikaten betreffen.

Zertifikatshierarchie der Generation Y

Die neue Generation-Y-Hierarchie besteht aus zwei Stammzertifizierungsstellen und sechs Zwischenzertifizierungsstellen. Die neuen Zertifizierungsstellen sind von den Stammzertifizierungsstellen der Generation X gegenseitig signiert, sodass ihr Vertrauen erhalten bleibt.

Anfang 2026 wird die Unterstützung für die TLS-Client-Authentifizierung eingestellt. Außerdem wird das klassische ACME-Profil am 13. Mai 2026 standardmäßig auf die neue Hierarchie umgestellt. Benutzer, die das tlsclient-Profil weiterhin benötigen, können es bis Mai verwenden, da es auf den Zertifikaten der Generation X verbleibt.

Was die Verkürzung der Gültigkeitsdauer von Zertifikaten betrifft, so können die ersten Tester und Benutzer im nächsten Jahr über tlsserver auf ein 45-Tage-Zertifikat zugreifen. Für 2027 ist eine Verkürzung der Laufzeit auf 64 Tage und für 2028 auf 45 Tage geplant. Auf diese Weise wird es möglich sein, die Sicherheit durch die Beschleunigung kryptografischer Updates und die Verringerung des „Angriffsfensters“ erheblich zu erhöhen.

Bereits in dieser Woche erhalten Nutzer von Profilen mit kurzer Gültigkeitsdauer und tlsserver Zugang zu Zertifikaten der Generation Y.