Milyonlarca web sitesi için ücretsiz TLS/SSL sertifikaları sağlayan, kar amacı gütmeyen sertifika yetkilisi Let’s Encrypt, verme politikalarında kapsamlı güncellemeler yaptığını duyurdu.
Değişiklikler yeni bir “Y Nesli” kök hiyerarşisi getiriyor, TLS istemci kimlik doğrulamasını kullanımdan kaldırıyor ve CA/Tarayıcı Forumu gerekliliklerine uyum sağlamak için sertifika ömürlerini giderek kısaltıyor.
Let’s Encrypt, sorunsuz bir geçiş sağlamak için ACME profillerinden yararlanarak kullanıcılara kullanıma sunma zamanlaması üzerinde kontrol sağlıyor. Çoğu için acil bir eyleme gerek yoktur.
Güncellemenin merkezinde “Y Nesli” hiyerarşisi yer alıyor: mevcut “X Nesli” kökleri (X1 ve X2) tarafından çapraz imzalanan iki yeni Kök CA ve altı Ara CA.
Bu, geniş güven uyumluluğunu korur. Yeni ara ürünler, yaklaşan kök program zorunluluğuna yönelik olarak TLS İstemci Kimlik Doğrulaması Genişletilmiş Anahtar Kullanımı’nı (EKU) hariç tutuyor. Let’s Encrypt, TLS İstemci Kimlik Doğrulaması desteğini Şubat 2026’dan itibaren sona erdirmeye yönelik daha önce ayrıntılı olarak açıklanan planlar.
Profile özgü zaman çizelgeleri değişiklik gösterir. Varsayılan klasik profildeki kullanıcılar 13 Mayıs 2026’da Y Nesli’ne geçiş yapacak. Eski TLS istemci kimlik doğrulamasına ihtiyaç duyanlar, Mayıs 2026’ya kadar X Nesli’nde kalacak olan tlsclient profilini kullanabilirler.
Bu arada, TLS sunucusu ve kısa ömürlü profiller bu hafta Y Nesli’ne geçerek IP adresi destekli kısa ömürlü sertifikalara olanak tanıyor. Bu, kısa ömürlü sertifikaların genel kullanılabilirliğine işaret eder, otomatik yenilemelere yardımcı olur ve maruz kalma aralıklarını azaltır.
Kullanım ömrünün kısaltılması, gelişen CA/Tarayıcı Forumu Temel Gereksinimlerine uygundur. Gelecek yıl, erken benimseyenler 45 günlük sertifikaları tlsserver aracılığıyla test edecek. Let’s Encrypt’in kullanım ömrü azaltma gönderisinde ayrıntılı olarak belirtildiği gibi, varsayılanlar 2027’de 64 güne, ardından 2028’de 45 güne düşüyor.
Zaman Çizelgesine Genel Bakış
| Değiştirmek | Profil Etkilendi | Tarih |
|---|---|---|
| Y Kuşağının kullanıma sunulması (tlsserver/kısa ömürlü) | tlsserver, kısa ömürlü | Bu hafta |
| TLS İstemci Kimlik Doğrulaması sonu | Hepsi (tlsclient mirası) | Şubat 2026 |
| Y Kuşağı varsayılan anahtarı | Klasik | 13 Mayıs 2026 |
| 45 günlük katılım | tls sunucusu | 2026 |
| Varsayılan 64 gün | Tüm | 2027 |
| Varsayılan 45 gün | Tüm | 2028 |
Bu güncellemeler, iş akışının çoğunu kesintiye uğratmadan, daha kısa geçerlilik ve iyileştirilmiş EKU’lar yoluyla önemli riskleri en aza indirerek güvenliği güçlendirir. Let’s Encrypt, IP sertifikaları gibi uç durumlar için bağlantılı gönderileri ve topluluk forumlarını incelemenizi tavsiye ediyor.
Let’s Encrypt desteği büyüdükçe ve 300 milyondan fazla alan adını güvence altına alırken, bu değişiklikler endüstri standartlarına proaktif adaptasyonun altını çiziyor ve potansiyel olarak daha geniş PKI ekosistemlerini etkiliyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
