Let's Encrypt startet die allgemeine Verfügbarkeit von 6-Tage- und IP-Adress-Zertifikaten

• Let's Encrypt hat die offizielle Bereitstellung von Kurzzeit-Zertifikaten mit 6 Tagen Gültigkeit und IP-Adress-basierten Zertifikaten gestartet
• Kurzzeit-Zertifikate sind 160 Stunden (ca. 6 Tage und 16 Stunden) gültig und können über den ACME-Client durch Auswahl des Profils shortlived ausgestellt werden
• Diese Zertifikate sollen häufigere Erneuerungen fördern und so die Sicherheit erhöhen sowie die Abhängigkeit von wenig verlässlichen Widerrufsverfahren verringern
• IP-Adress-Zertifikate unterstützen sowohl IPv4 als auch IPv6 und werden wegen der höheren Änderungsdynamik von IP-Adressen ausschließlich als Kurzzeit-Zertifikate ausgestellt
• Diese Maßnahme wird als schrittweise Veränderung zur Verbreitung automatisierter Zertifikatserneuerung und zur Stärkung der Sicherheit bewertet

Bereitstellung von Kurzzeit-Zertifikaten (6 Tage)

• Kurzzeit-Zertifikate (short-lived certificates) sind 160 Stunden gültig und haben damit eine deutlich kürzere Laufzeit als bisherige 90-Tage-Zertifikate
  • Sie können ausgestellt werden, wenn im ACME-Client das Zertifikatsprofil shortlived ausgewählt wird
• Diese Zertifikate erhöhen die Sicherheit, indem sie häufigere Validierungen verlangen, und mildern Probleme durch die Unzuverlässigkeit von Widerrufssystemen
  • Bisher war bei einem Leak des privaten Schlüssels ein Zertifikatswiderruf nötig, doch da das Widerrufsverfahren nicht zuverlässig ist, konnte der verwundbare Zustand bis zum Ablauf bestehen bleiben
  • Mit Kurzzeit-Zertifikaten wird diese Verwundbarkeitsphase deutlich verkürzt
• Kurzzeit-Zertifikate sind optional (Opt-in) und sollen nicht zum Standard werden
  • Nutzer mit vollständig eingerichteten automatischen Erneuerungsprozessen können leicht umstellen
  • Da jedoch nicht alle Nutzer an so kurze Laufzeiten gewöhnt sind, bleibt die Standardeinstellung unverändert
• In den kommenden Jahren soll die Standard-Gültigkeitsdauer von Zertifikaten von 90 auf 45 Tage verkürzt werden

IP-Adress-Zertifikate

• IP-Adress-Zertifikate (IP address certificates) ermöglichen es, TLS-Verbindungen über IP-Adressen statt über Domainnamen zu authentifizieren
  • IPv4 und IPv6 werden beide unterstützt
• IP-Adress-Zertifikate werden zwingend nur in Form von Kurzzeit-Zertifikaten ausgestellt
  • Der Grund dafür ist, dass sich IP-Adressen häufiger ändern als Domains und daher häufigere Validierungen erforderlich sind
• Weitere Details und Anwendungsfälle finden sich im ersten Beitrag zu IP-Zertifikaten vom Juli 2025

Unterstützung und Förderung

• Diese Entwicklung wurde durch Open Technology Fund, Sovereign Tech Agency sowie Förderer und Spender unterstützt
• Let's Encrypt ist eine von der Non-Profit-Organisation Internet Security Research Group (ISRG) betriebene kostenlose, automatisierte und öffentliche Zertifizierungsstelle (CA)
• Im Jahresbericht 2025 der ISRG finden sich Informationen über die gesamte Non-Profit-Arbeit