Let's Encrypt kort levensduur certificaten drastisch in

dinsdag, 16 december 2025 (10:40) - Techzine

In dit artikel:

Let’s Encrypt voert ingrijpende wijzigingen door in haar certificaatinfrastructuur: twee nieuwe root‑CAs en zes nieuwe intermediate‑CAs worden geïntroduceerd onder de naam Generation Y, en deze worden cross‑signed door de bestaande Generation X‑roots (X1 en X2) zodat compatibiliteit behouden blijft. De nieuwe intermediates missen de Extended Key Usage voor TLS Client Authentication, een aanpassing die voortkomt uit strengere root‑programvereisten van browservendors en besturingssystemen (zoals Google, Microsoft, Apple en Mozilla). Daardoor wordt het uitgeven van TLS‑certificaten voortaan server‑only en verdwijnt TLS‑clientauthenticatie uit de standaardstroom.

Voor de meeste gebruikers verandert er weinig direct: het ‘classic’ profiel blijft de standaard, maar dat profiel schakelt op 13 mei 2026 over naar de Generation Y‑hiërarchie. Let’s Encrypt had eerder aangekondigd TLS Client Authentication vanaf februari 2026 te stoppen; die wijziging valt nu samen met de Generation Y‑switch. Wie meer tijd nodig heeft kan nog tot mei 2026 het tlsclient‑profiel blijven gebruiken, dat op de Generation X‑roots blijft draaien.

Vanaf deze week krijgen aanvragen via het tlsserver‑ en shortlived‑profiel al certificaten uit Generation Y. Tegelijkertijd maakt Let’s Encrypt opt‑in short‑lived certificaten beschikbaar en voegt het ondersteuning toe voor IP‑adressen in certificaten. Kortere geldigheidsduur is een belangrijk onderdeel van de plannen: volgend jaar kunnen early adopters via het tlsserver‑profiel kiezen voor 45‑daagse certificaten; Let’s Encrypt verlaagt de standaardduur naar 64 dagen in 2027 en naar 45 dagen in 2028. Dit sluit aan op CA/Browser Forum‑besluiten die uiteindelijk uitkomen op ongeveer 47 dagen per maart 2029; Let’s Encrypt kiest voor 45 dagen.

De motivatie is veiligheid: frequentere heruitgifte verkleint de blootstelling bij gecompromitteerde certificaten en vermindert afhankelijkheid van onbetrouwbare intrekkingsmechanismen zoals CRL en OCSP. Voor de meeste beheerders en gebruikers is geen handmatige actie vereist, al raadt Let’s Encrypt aan de bijbehorende blogposts en documentatie door te nemen. Voor omgevingen die nog gebruikmaken van TLS‑clientauthenticatie of handmatige certificaatvernieuwing is het verstandig plannen te maken voor migratie en geautomatiseerde vernieuwing via ACME‑clients.