<![CDATA[Souhrn posledních novinek Let's Encrypt]]>Opravdu dlouho jsem nepřinesl žádné novinky o Let’s Encrypt a za toto nehorázné zanedbávání tohoto webu/fóra se velice omlouvám. Proto Vám přináším souhrn všech ověřených změn a oznámení za poslední dobu:

Byla zavedena opatření proti takzvaným zombie klientům, tedy klientům, kteří opakovaně neúspěšně žádají o certifikáty bez dokončení ověření domény. Ruční uplatňování prvních omezení začalo v září 2024 a automatizované pauzování problematických registrací bylo nasazeno od prosince 2024. Cílem je snížení zbytečné zátěže infrastruktury a zvýšení stability služby.

Došlo také k oznámení ukončení podpory protokolu OCSP, které bylo zveřejněno 5. prosince 2024. Od 30. ledna 2025 přestala fungovat OCSP Must-Staple potvrzení, od 7. května 2025 byly z nově vydávaných certifikátů odstraněny OCSP URL a 6. srpna 2025 byly vypnuty OCSP respondéry, čímž byla služba OCSP definitivně ukončena. Ověřování stavu zneplatnění certifikátů se nadále opírá o CRL seznamy.

Let’s Encrypt ukončil zasílání e-mailových upozornění na blížící se expiraci certifikátů 4. června 2025. Současně byly z produkčních systémů odstraněny e-mailové adresy spojené s ACME účty. Důvodem byla převaha automatizovaných obnov, náklady na provoz a otázky ochrany soukromí.

Plán postupného zkracování platnosti SSL/TLS certifikátů byl zveřejněn 2. prosince 2025. Certifikáty budou zkráceny nejprve na 64 dnů od 10. února 2027 a následně na 45 dnů od 16. února 2028. Možnost dobrovolně přejít na 45denní certifikáty bude dostupná od 13. května 2026. Se zkracováním platnosti souvisí i omezení doby, po kterou lze znovu použít ověření vlastnictví domény – postupně se má zkrátit z původních 30 dnů až na 7 hodin. Hlavním důsledkem je nutnost plně funkční automatizace obnov certifikátů.

Let’s Encrypt zároveň vytvořil novou hierarchii kořenových a prostředních certifikačních autorit označovanou jako Generation Y. Podpora této hierarchie pro běžné serverové certifikáty a krátkodobé profily byla zpřístupněna 7. ledna 2026. V oblasti vydávacích řetězců certifikátů tak byla nová intermediární infrastruktura spojená s Generation Y uvedena do běžného provozu tímto datem a pokračuje odklon od starších řetězců a historických kompatibilitních prvků.

Nové intermediární certifikáty v základním profilu neobsahují rozšíření pro TLS klientskou autentizaci (Client Authentication EKU) od 11. února 2026. Alternativní profil s podporou klientské autentizace bude k dispozici pouze do 13. května 2026, poté bude tato možnost zcela odstraněna.

Celkově tedy od mého posledního příspěvku, který jsem posílal 15. března 2024 došlo k významným změnám v oblasti platnosti certifikátů, certifikačních řetězců, bezpečnostních mechanismů (OCSP → CRL) a podpoře klientské autentizace, které ovlivní způsob, jakým Let’s Encrypt certifikáty fungují a jakým je potřeba je spravovat.

]]>http://forum.letsencrypt.cz/topic/35/souhrn-posledních-novinek-let-s-encryptRSS for NodeWed, 15 Apr 2026 13:53:53 GMTSun, 01 Feb 2026 23:02:06 GMT60<![CDATA[Reply to Souhrn posledních novinek Let's Encrypt on Invalid Date]]>Opravdu dlouho jsem nepřinesl žádné novinky o Let’s Encrypt a za toto nehorázné zanedbávání tohoto webu/fóra se velice omlouvám. Proto Vám přináším souhrn všech ověřených změn a oznámení za poslední dobu:

Byla zavedena opatření proti takzvaným zombie klientům, tedy klientům, kteří opakovaně neúspěšně žádají o certifikáty bez dokončení ověření domény. Ruční uplatňování prvních omezení začalo v září 2024 a automatizované pauzování problematických registrací bylo nasazeno od prosince 2024. Cílem je snížení zbytečné zátěže infrastruktury a zvýšení stability služby.

Došlo také k oznámení ukončení podpory protokolu OCSP, které bylo zveřejněno 5. prosince 2024. Od 30. ledna 2025 přestala fungovat OCSP Must-Staple potvrzení, od 7. května 2025 byly z nově vydávaných certifikátů odstraněny OCSP URL a 6. srpna 2025 byly vypnuty OCSP respondéry, čímž byla služba OCSP definitivně ukončena. Ověřování stavu zneplatnění certifikátů se nadále opírá o CRL seznamy.

Let’s Encrypt ukončil zasílání e-mailových upozornění na blížící se expiraci certifikátů 4. června 2025. Současně byly z produkčních systémů odstraněny e-mailové adresy spojené s ACME účty. Důvodem byla převaha automatizovaných obnov, náklady na provoz a otázky ochrany soukromí.

Plán postupného zkracování platnosti SSL/TLS certifikátů byl zveřejněn 2. prosince 2025. Certifikáty budou zkráceny nejprve na 64 dnů od 10. února 2027 a následně na 45 dnů od 16. února 2028. Možnost dobrovolně přejít na 45denní certifikáty bude dostupná od 13. května 2026. Se zkracováním platnosti souvisí i omezení doby, po kterou lze znovu použít ověření vlastnictví domény – postupně se má zkrátit z původních 30 dnů až na 7 hodin. Hlavním důsledkem je nutnost plně funkční automatizace obnov certifikátů.

Let’s Encrypt zároveň vytvořil novou hierarchii kořenových a prostředních certifikačních autorit označovanou jako Generation Y. Podpora této hierarchie pro běžné serverové certifikáty a krátkodobé profily byla zpřístupněna 7. ledna 2026. V oblasti vydávacích řetězců certifikátů tak byla nová intermediární infrastruktura spojená s Generation Y uvedena do běžného provozu tímto datem a pokračuje odklon od starších řetězců a historických kompatibilitních prvků.

Nové intermediární certifikáty v základním profilu neobsahují rozšíření pro TLS klientskou autentizaci (Client Authentication EKU) od 11. února 2026. Alternativní profil s podporou klientské autentizace bude k dispozici pouze do 13. května 2026, poté bude tato možnost zcela odstraněna.

Celkově tedy od mého posledního příspěvku, který jsem posílal 15. března 2024 došlo k významným změnám v oblasti platnosti certifikátů, certifikačních řetězců, bezpečnostních mechanismů (OCSP → CRL) a podpoře klientské autentizace, které ovlivní způsob, jakým Let’s Encrypt certifikáty fungují a jakým je potřeba je spravovat.

]]>http://forum.letsencrypt.cz/post/44http://forum.letsencrypt.cz/post/44Invalid Date