Let’s Encrypt sertifika geçerlilik süresinin 90 günden 45 güne düşürüleceğini açıkladı (2028’e kadar kademeli uygulama)

 (letsencrypt.org)
17 puan yazan davespark 2025-12-03 | 3 yorum | WhatsApp'ta paylaş

Değişiklik nedeni

  • CA/Browser Forum standart gereksinimleri (dünyadaki tüm kamuya açık CA’ler için aynı şekilde geçerli)
  • İnternet güvenliğini güçlendirme (geçerlilik süresi kısaldıkça saldırı durumunda etki alanı sınırlanır + iptal verimliliği artar)

Sertifika geçerlilik süresindeki değişim

  • Şu an: 90 gün
  • 2028 sonrası: 45 gün

Alan adı sahipliği doğrulaması yeniden kullanım süresindeki değişim

  • Şu an: 30 gün
  • 2028 sonrası: 7 saat

Aşamalı uygulama takvimi (yalnızca yeni düzenlenen sertifikalara uygulanır)

  • 13 Mayıs 2026: opt-in profil (tlsserver) → 45 günlük sertifika düzenlenmeye başlanacak (test edilebilir)
  • 10 Şubat 2027: varsayılan profil (classic) → 64 günlük sertifika + doğrulama yeniden kullanımı 10 gün
  • 16 Şubat 2028: varsayılan profil (classic) → 45 günlük sertifika + doğrulama yeniden kullanımı 7 saat

Kullanıcının yapması gerekenler

  • Otomatik yenileme kullanan çoğu kullanıcı için ek işlem gerekmiyor
  • Ancak otomatik yenileme döngüsünün 45 günlük sertifikalarla uyumlu olup olmadığını mutlaka kontrol etmek gerekiyor
  • Önerilen adımlar
    • ACME Renewal Information (ARI) özelliğini etkinleştirin (doğru yenileme zamanını bildirir)
    • ARI desteklemeyen istemciler: sertifika ömrünün yaklaşık 2/3 noktasında yenileyecek şekilde ayarlayın
    • Manuel yenileme önerilmez (çok sık yapılması gerekir)
    • Sertifika sona erme izleme sistemi mutlaka kurulmalı

Yeni otomasyon kolaylığı sağlayan özellikler (2026’da gelmesi planlanıyor)

  • DNS-PERSIST-01 challenge için yeni standartlaştırma çalışması yürütülüyor
  • Özellik: DNS TXT kaydını yalnızca bir kez ayarlamak yeterli, her yenilemede değiştirmek gerekmeyecek
  • → DNS otomatik güncelleme yetkisi olmadan da tam otomatik yenileme mümkün

Resmî duyuru bağlantısı https://letsencrypt.org/2025/12/02/from-90-to-45

Sonuç: 2028’e kadar tüm Let’s Encrypt kullanıcıları için 45 günlük otomatik yenileme + ARI + izleme zorunlu bir ortam haline gelecek.

İlgili okumalar

3 yorum

 
popopo 2025-12-05

Ev labımda sertifika uygulayıp kullandığım için TLS2030 ile ilgileniyor ve hazırlık yapıyordum.

Proxmox veya Nginx Proxy Manager'da Let's Encrypt sertifikalarının otomatik verilmesi mümkün olduğu için, tekil alan adlarında özellikle bir sorun olmuyor.

Wildcard sertifikaları bir kez alıp birden fazla sistemde kullanmak gerektiğinden, Hashicorp Vault gibi bir sistem şart. Başka bir yöntem var mı?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

Böyle bir mimari kurdum; ancak FreeIPA olmasa da olur. Vault, Intermediate CA yerine ROOT CA olur ve ROOT CA'yı her sisteme güvenilen CA olarak kaydetmeniz yeterlidir.

FreeIPA'da da aslında FreeIPA istemcisini kurarken güvenilen CA olarak kaydediyorsunuz; yani mesele FreeIPA kullanmak mı, yoksa Ansible vb. ile güvenilen CA olarak kaydetmek mi, buna dönüyor.

FreeIPA'nın iç DNS olarak kullanılabilmesi bir avantaj, ancak kurulumdan işletime ve arıza çözümüne kadar zorluk seviyesi yüksek olduğu için yalnızca Vault kullanmanın daha iyi olduğunu düşünüyorum.
 
byun1114 2025-12-04

Wildcard sertifikası alıp kullanıyorum; bunun nasıl değişeceğini kestiremiyorum.
 
techiemann 2025-12-04

Bireysel kullanıcıları yaş...