LetsEncrypt verkort geldigheid certificaten en komt met nieuwe DNS-challenge

In dit artikel:

Let's Encrypt verkort gefaseerd de geldigheidsduur van zijn SSL/TLS-certificaten en past daarmee zijn ACME-profielen aan. Het opt-in profiel tlsserver gaat vanaf 13 mei 2026 certificaten van 45 dagen uitgeven (nu nog 90 dagen). Het klassieke ACME-profiel schakelt op 10 februari 2027 eerst naar 64 dagen en op 16 februari 2028 uiteindelijk naar 45 dagen. Tegelijkertijd wordt de authorization reuse-periode — de tijd waarin een domeincontrole niet opnieuw nodig is — vanaf 10 februari 2027 teruggebracht naar tien dagen en vanaf 16 februari 2028 naar zeven uur. Deze wijzigingen volgen nieuwe richtlijnen van het CA/Browser Forum.

Omdat kortere certificaten en reuse-periodes domeinvalidatie lastiger maken, introduceert Let's Encrypt een nieuwe DNS-challenge, DNS-Persist-01, waarbij dezelfde DNS TXT-vermelding bij hernieuwing kan blijven staan. Die methode moet in 2026 beschikbaar komen. Verwacht wordt dat certificaatautomatisering en tooling (bijv. ACME-clients, DNS-providers) hierop moeten worden aangepast.