Let’s Encrypt प्रमाणपत्र वैधता अवधि 90 दिन → 45 दिन करने की घोषणा (2028 तक चरणबद्ध लागू)

 (letsencrypt.org)
17 पॉइंट द्वारा davespark 2025-12-03 | 3 टिप्पणियां | WhatsApp पर शेयर करें

बदलाव के कारण

  • CA/Browser Forum की आवश्यकताएँ (दुनिया भर के सभी सार्वजनिक CA पर समान रूप से लागू)
  • इंटरनेट सुरक्षा को मजबूत करना (वैधता अवधि छोटी होने से हैक होने पर नुकसान की सीमा घटेगी + निरस्तीकरण की दक्षता बढ़ेगी)

प्रमाणपत्र वैधता अवधि में बदलाव

  • वर्तमान: 90 दिन
  • 2028 के बाद: 45 दिन

डोमेन स्वामित्व सत्यापन पुन:उपयोग अवधि में बदलाव

  • वर्तमान: 30 दिन
  • 2028 के बाद: 7 घंटे

चरणबद्ध लागू करने की समय-सारिणी (नई जारी होने वाली प्रमाणपत्रों पर लागू)

  • 13 मई 2026: opt-in प्रोफ़ाइल(tlsserver) → 45 दिन के प्रमाणपत्र जारी होना शुरू (टेस्ट संभव)
  • 10 फ़रवरी 2027: डिफ़ॉल्ट प्रोफ़ाइल(classic) → 64 दिन के प्रमाणपत्र + सत्यापन पुन:उपयोग 10 दिन
  • 16 फ़रवरी 2028: डिफ़ॉल्ट प्रोफ़ाइल(classic) → 45 दिन के प्रमाणपत्र + सत्यापन पुन:उपयोग 7 घंटे

उपयोगकर्ताओं को क्या करना चाहिए

  • अधिकांश auto-renewal उपयोगकर्ताओं के लिए: अलग से कोई कार्रवाई आवश्यक नहीं
  • लेकिन, यह ज़रूर जाँचें कि auto-renewal चक्र 45 दिन के प्रमाणपत्रों के साथ संगत है या नहीं
  • सुझाए गए कदम
    • ACME Renewal Information (ARI) फीचर सक्षम करें (सटीक renewal समय की जानकारी)
    • ARI को सपोर्ट न करने वाले client: प्रमाणपत्र की उम्र के लगभग 2/3 बिंदु पर renewal होने के लिए सेट करें
    • manual renewal की सिफारिश नहीं (बहुत बार करना पड़ेगा)
    • प्रमाणपत्र expiry monitoring सिस्टम ज़रूर बनाएँ

नई automation सुविधा (2026 में आने की योजना)

  • DNS-PERSIST-01 challenge के नए standardization को आगे बढ़ाया जा रहा है
  • विशेषता: DNS TXT record सिर्फ एक बार सेट करने पर renewal के समय हर बार बदलने की ज़रूरत नहीं
  • → DNS auto-update अनुमति के बिना भी पूरी तरह automatic renewal संभव

आधिकारिक घोषणा लिंक https://letsencrypt.org/2025/12/02/from-90-to-45

निष्कर्ष: 2028 तक सभी Let’s Encrypt उपयोगकर्ताओं के लिए 45 दिन चक्र वाला automatic renewal + ARI + monitoring अनिवार्य वातावरण बन जाएगा.

संबंधित पढ़ाई

3 टिप्पणियां

 
popopo 2025-12-05

मैं होमलैब में सर्टिफिकेट लागू करके इस्तेमाल कर रहा हूँ, इसलिए TLS2030 में दिलचस्पी लेकर तैयारी कर रहा था।

क्योंकि Proxmox या Nginx Proxy Manager में Let's Encrypt सर्टिफिकेट का ऑटोमैटिक issuance हो जाता है, इसलिए अलग-अलग डोमेन में खास समस्या नहीं है।

Wildcard सर्टिफिकेट एक बार जारी करके कई सिस्टम में इस्तेमाल करना पड़ता है, इसलिए Hashicorp Vault जैसे सिस्टम ज़रूरी हैं। क्या कोई दूसरा तरीका है?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

मैंने इसे ऐसी architecture के साथ कॉन्फ़िगर किया है, लेकिन FreeIPA न भी हो तो चलेगा। Vault Intermediate CA की जगह ROOT CA बन जाता है, और ROOT CA को हर सिस्टम में trusted CA के रूप में रजिस्टर कर दें तो काम हो जाता है.

FreeIPA में भी FreeIPA client इंस्टॉल करते समय उसे trusted CA के रूप में रजिस्टर किया जाता है, इसलिए सवाल यह है कि FreeIPA इस्तेमाल करें, या Ansible आदि से trusted CA के रूप में रजिस्टर करें।

FreeIPA इस्तेमाल करने का फ़ायदा यह है कि इसे internal DNS के लिए भी उपयोग किया जा सकता है, लेकिन मुझे लगता है कि installation से लेकर operations और failure handling तक इसकी कठिनाई काफ़ी ज़्यादा है, इसलिए सिर्फ Vault इस्तेमाल करना बेहतर है।
 
byun1114 2025-12-04

मैं wildcard सर्टिफिकेट जारी करवाकर इस्तेमाल कर रहा हूँ, इसलिए पता नहीं यह कैसे बदलेगा।
 
techiemann 2025-12-04

व्यक्तिगत उपयोगकर्ताओं को इससे ज़्यादा असुविधा नहीं होगी, लेकिन कंपनियों और large-scale सर्विस ऑपरेटरों के लिए certificate renewal automation अब लगभग अनिवार्य हो जाएगा.