Let’s Encrypt, autorità di certificazione non profit nata con l’obiettivo di eliminare i costi e le complessità nell’adozione di SSL e TLS, ha annunciato una serie di cambiamenti destinati a incidere sull’intero ecosistema della cybersecurity. Le novità riguardano una nuova gerarchia di certificazione, l’abbandono della TLS Client Authentication e una notevole riduzione della durata dei certificati.
Nuova gerarchia Generation Y e fine della TLS Client Authentication
Il cambiamento più rilevante tra quelli stabiliti da Let’s Encrypt è l’introduzione di un nuova gerarchia, Generation Y, che comprende due nuove Root Certificate Authority e sei nuove Intermediate CA. Queste entità sono cross-signed dalle root Generation X e identificate come X1 e X2 per garantire continuità nei contesti in cui le vecchie root sono state già riconosciute.
Generation Y è stato concepito appositamente per supportare le evoluzioni crittografiche e una gestione più efficiente del ciclo di vita dei certificati. Gli utenti dei profili tlsserver e short-lived inizieranno fin da subito a ricevere i certificati emessi dalla nuova gerarchia.
Let’s Encrypt ha poi confermato la dismissione dell’autenticazione TLS lato client. Il processo inizierà a febbraio 2026. Dal 13 maggio 2026 il profilo ACME classico passerà automaticamente a Generation Y senza il supporto per Client Auth. Gli utenti che necessitano di più tempo potranno continuare a utilizzare tlsclient che resterà , anche se basato su Generation X, fino alla stessa data.
Certificati Let’s Encrypt da 45 giorni per una maggiore sicurezza
Da segnalare anche la riduzione progressiva della durata dei certificati per conformità con i requisiti del CA/Browser Forum. Nel 2026 partirà una fase opzionale che consentirà di ottenere certificati da 45 giorni tramite il profilo tlsserver. Nel 2027 la durata predefinita scenderà a 64 giorni, mentre nel 2028 verrà fissata a 45 giorni.
A parere dei responsabili di Let’s Encrypt dei certificati più brevi consentono di ridurre la finestra di attacco, permettono aggiornamenti più rapidi e limitano l’impatto delle emissioni errate. La loro disponibilità includerà anche il supporto agli indirizzi IP.
Per restare sempre aggiornato seguici su Google News!
