Электронный фонд свободы теперь позволяет получать сертификаты на шесть дней.

Десять лет назад центры сертификации обычно выдавали сертификаты со сроком действия год и более, – вспоминает в новом блоге директор по разработкам EFF (Electronic Frontier Foundation). Поэтому в 2015 году, когда бесплатный центр сертификации Let's Encrypt начал выдавать 90-дневные TLS-сертификаты для веб-сайтов, "это был смелый шаг, который помог подтолкнуть экосистему к сокращению срока действия сертификатов".

А в январе этого года Let's Encrypt объявил о новых шестидневных сертификатах…

На этой неделе последовало соответствующее объявление от директора по разработкам EFF. Более 31 миллиона веб-сайтов поддерживают свои HTTPS-сертификаты с помощью инструмента Certbot от EFF (который автоматически получает бесплатные HTTPS-сертификаты на постоянной основе), и теперь Certbot поддерживает шестидневные сертификаты Let's Encrypt. (Это достигается за счет ACME-профилей с динамическим продлением, когда остается 1/3 или 1/2 срока действия, если срок действия меньше 10 дней).

Существуют дебаты о том, насколько коротким должен быть срок действия сертификатов, но с ACME-профилями можно использовать стандартный или "классический" опыт Let's Encrypt (90 дней) или начать активно использовать другие типы профилей через Certbot с флагами --preferred-profile и --required-profile. Для шестидневных сертификатов можно выбрать профиль "shortlived".

Почему более короткий срок действия лучше (по мнению директора по разработкам EFF):

• Если закрытый ключ сертификата скомпрометирован, этот компромат не может длиться долго.
• Более короткий срок действия сертификатов стимулирует автоматизацию, что облегчает надежную защиту веб-серверов.
• Отзыв сертификатов исторически ненадежен. Срок действия 10 дней и менее устраняет необходимость вызывать процесс отзыва и бороться с продолжающимся использованием скомпрометированного ключа.