Let’s Encrypt introduceert forse wijzigingen aan haar certificaten. De certificaat-autoriteit zet stappen richting kortere certificaatlevensduren, nieuwe root certificates en het einde van TLS client authentication. De veranderingen lopen synchroon met nieuwe CA/Browser Forum-eisen.

Let’s Encrypt genereert twee nieuwe Root Certification Authorities (CA’s) en zes nieuwe Intermediate CA’s, gezamenlijk de Generation Y-hiërarchie genoemd. Deze worden cross-signed vanuit de bestaande Generation X roots X1 en X2. Daardoor blijven ze werken op plekken waar de huidige roots vertrouwd worden.

Voor de meeste gebruikers geldt dat ze standaard certificaten krijgen van het ‘classic‘-profiel, tenzij men bewust voor een ander profiel kiest. Dit profiel schakelt op 13 mei 2026 over naar de Generation Y-hiërarchie. Die nieuwe intermediates bevatten niet langer de Extended Key Usage voor TLS Client Authentication vanwege aankomende root program-vereisten. Dat zijn eisen die browservendoren en bouwers van besturingssystemen zoals Google, Microsoft, Apple en Mozilla stellen. CA’s moeten hieraan voldoen en deze eisen worden steeds hoger. In dit geval wordt het uitgeven van TLS-certificaten server-only, waardoor client-gebaseerde verschaffing van certificaten niet meer toegestaan wordt.

Eerdere plannen uitgevoerd

Let’s Encrypt kondigde eerder al aan om TLS Client Authentication vanaf februari 2026 te beëindigen. Dat gebeurt dus gelijktijdig met de switch naar Generation Y. Gebruikers die problemen ondervinden of meer tijd nodig hebben, kunnen tot mei 2026 gebruik maken van het tlsclient-profiel. Die blijft op de Generation X roots draaien.

Gebruikers die certificaten aanvragen via de tlsserver of shortlived profiles krijgen vanaf deze week certificaten van de Generation Y-hiërarchie. Deze omschakeling markeert tevens de opt-in beschikbaarheid van short-lived certificaten bij Let’s Encrypt. Daarbij komt ook ondersteuning voor IP-adressen op certificaten.

Breder gedragen verkorting

De wijzigingen sluiten aan bij aankomende veranderingen in de CA/Browser Forum Baseline Requirements. Die dwingen certificaat-autoriteiten om de geldigheidsduur van certificaten te verkorten. Volgend jaar kunnen early adopters en testgebruikers via het tlsserver profile opteren voor 45-daagse certificaten.

In 2027 verlaagt Let’s Encrypt de standaard certificaatlevensduur naar 64 dagen, gevolgd door 45 dagen in 2028. Het bredere CA/Browser Forum stemde in april voor een geleidelijke reductie naar uiteindelijk 47 dagen in maart 2029. Let’s Encrypt kiest voor 45 dagen.

De verkorting van certificaatlevensduren heeft als doel de beveiliging te verbeteren. Frequentere validatie vermindert risico’s op gecompromitteerde certificaten. Ook compenseert het zwaktes in herroeppingssystemen zoals CRL en OCSP.

Voor de meeste gebruikers is geen actie vereist, maar Let’s Encrypt raadt wel aan de gelinkte blogposts over de wijzigingen door te nemen voor meer details.

Lees ook: Productie ziet minder data-encryptie bij cyberaanvallen, betaalt nog steeds