Let's Encrypt, 11 Şubat 2026 tarihinden itibaren varsayılan olarak sunuculara verdiği sertifikalarda önemli bir değişikliğe gidiyor. Mevcut durumda hem "sunucu kimlik doğrulaması" hem de "istemci kimlik doğrulaması" için kullanılabilen sertifikalar yerine, artık yalnızca "sunucu kimlik doğrulaması" için geçerli olan "sunucuya özel" sertifikalar verilecek. Bu değişiklik, genellikle Prosody operatörleri için doğrudan bir eylem gerektirmese de, yeni sertifikaları kullanan sunucuların ağdaki diğer XMPP sunucularıyla bağlantı kurarken sorunlar yaşamasına neden olabilir.
Sertifikalar, bir alan adının sahipliğini veya kontrolünü kanıtlamak için kullanılan dijital belgelerdir. Let's Encrypt gibi Sertifika Yetkilileri (CA'lar), bu doğrulamayı yaparak sertifikaları düzenler. XMPP istemcileri bir sunucuya bağlanırken veya sunucular arası (s2s) bağlantılar kurulurken, sunucunun alan adı için geçerli bir sertifika sunması beklenir. Sertifikaların "Genişletilmiş Anahtar Kullanımı" (Extended Key Usage) adı verilen bir uzantısı, sertifikanın hangi amaçla kullanılabileceğini (örneğin, sunucu veya istemci kimlik doğrulaması) belirleyebilir.
Sorun, XMPP'nin sunucular arası bağlantıları yoğun bir şekilde kullanmasından kaynaklanıyor. TLS spesifikasyonlarına göre, bu tür sunucular arası bağlantılarda bağlantıyı başlatan sunucu bir "TLS istemcisi" olarak kabul edilir. Let's Encrypt'in yeni "sunucuya özel" sertifikaları, geleneksel yorumlamaya göre bir "istemci" tarafından (yani bu durumda bağlantıyı başlatan XMPP sunucusu tarafından) kullanılamayabilir. OpenSSL gibi yaygın TLS kütüphaneleri, sertifikanın anahtar kullanım alanlarını otomatik olarak doğrulayarak, bu tür bir kullanımda sertifika doğrulamasını başarısızlıkla sonuçlandırabilir. Bu durum, XMPP federasyonunda kesintilere yol açabilir.
Let's Encrypt'in sertifika kullanımındaki bu değişiklik, XMPP sunucuları arasındaki iletişimi potansiyel olarak bozarak federasyon ağında bağlantı sorunlarına yol açabilir.