Let's Encrypt Sertifikalarında Önemli Değişiklikler Yolda

Let's Encrypt, sertifika hizmetlerinde bir dizi önemli güncelleme duyurdu. Bu değişiklikler arasında yeni kök sertifikalar, TLS istemci doğrulamasının (client authentication) sonlandırılması ve sertifika geçerlilik sürelerinin kısaltılması yer alıyor. Geçiş sürecini kademeli hale getirmek için ACME profilleri kullanılacak ve bu sayede kullanıcılar bazı değişikliklerin ne zaman yürürlüğe gireceği konusunda kontrol sahibi olabilecekler. Çoğu kullanıcı için herhangi bir işlem yapılmasına gerek kalmayacak.

Kuruluş, "Generation Y" olarak adlandırılan yeni bir hiyerarşi oluşturdu; bu, iki yeni kök Sertifika Yetkilisi (CA) ve altı yeni ara CA içeriyor. Bu yeni kökler, mevcut "Generation X" kökleri X1 ve X2 ile çapraz imzalandığı için, mevcut köklerin güvenildiği her yerde çalışmaya devam edecek. Varsayılan klasik profil kullanan çoğu kullanıcı için Generation Y hiyerarşisine geçiş 13 Mayıs 2026'da gerçekleşecek. Bu yeni ara sertifikalar, yaklaşan bir kök programı gereksinimi nedeniyle "TLS Client Authentication" Genişletilmiş Anahtar Kullanımı (Extended Key Usage) içermeyecek. Let's Encrypt, Şubat 2026'dan itibaren TLS Client Authentication'ı sonlandırma planlarını daha önce duyurmuştu ve bu tarih Generation Y hiyerarşisine geçişle çakışacak. Sorun yaşayan veya geçiş için ek süreye ihtiyaç duyan kullanıcılar, Mayıs 2026'ya kadar mevcut Generation X köklerinde kalacak olan tlsclient profilini kullanabilecekler.

Sertifika geçerlilik süreleri de kısalacak. Gelecek yıl, erken benimseyenler ve testler için tlsserver profili aracılığıyla 45 günlük sertifikaları tercih etme imkanı sunulacak. 2027'de varsayılan sertifika ömrü 64 güne, 2028'de ise 45 güne düşürülecek. tlsserver veya shortlived profillerini kullananlar ise Generation Y hiyerarşisinden gelen sertifikaları bu haftadan itibaren görmeye başlayacak. Bu geçiş, Let's Encrypt'ten IP adresleri için destek dahil olmak üzere kısa ömürlü sertifikaların genel kullanıma sunulduğu anlamına da geliyor.