ประกาศลดอายุใบรับรอง Let’s Encrypt จาก 90 วัน → 45 วัน (ทยอยบังคับใช้จนถึงปี 2028)

 (letsencrypt.org)
17 คะแนน โดย davespark 2025-12-03 | 3 ความคิดเห็น | แชร์ทาง WhatsApp

เหตุผลของการเปลี่ยนแปลง

  • ข้อกำหนดตามมาตรฐานของ CA/Browser Forum (มีผลใช้กับ CA สาธารณะที่ได้รับการรับรองทั้งหมดทั่วโลกเหมือนกัน)
  • เสริมความปลอดภัยของอินเทอร์เน็ต (อายุใช้งานสั้นลงช่วยจำกัดขอบเขตความเสียหายเมื่อถูกแฮ็ก + เพิ่มประสิทธิภาพในการเพิกถอน)

การเปลี่ยนแปลงอายุใบรับรอง

  • ปัจจุบัน: 90 วัน
  • หลังปี 2028: 45 วัน

การเปลี่ยนแปลงระยะเวลาการนำผลการตรวจสอบความเป็นเจ้าของโดเมนกลับมาใช้ซ้ำ

  • ปัจจุบัน: 30 วัน
  • หลังปี 2028: 7 ชั่วโมง

กำหนดการบังคับใช้เป็นขั้นตอน (มีผลกับใบรับรองที่ออกใหม่เท่านั้น)

  • 13 พฤษภาคม 2026: โปรไฟล์ opt-in (tlsserver) → เริ่มออกใบรับรองอายุ 45 วัน (สามารถทดสอบได้
  • 10 กุมภาพันธ์ 2027: โปรไฟล์เริ่มต้น (classic) → ใบรับรองอายุ 64 วัน + การใช้ผลการตรวจสอบซ้ำ 10 วัน
  • 16 กุมภาพันธ์ 2028: โปรไฟล์เริ่มต้น (classic) → ใบรับรองอายุ 45 วัน + การใช้ผลการตรวจสอบซ้ำ 7 ชั่วโมง

สิ่งที่ผู้ใช้ต้องทำ

  • ผู้ใช้ส่วนใหญ่ที่ต่ออายุอัตโนมัติอยู่แล้ว: ไม่ต้องดำเนินการเพิ่มเติม
  • แต่จำเป็นต้องตรวจสอบว่ารอบการต่ออายุอัตโนมัติรองรับใบรับรองอายุ 45 วันหรือไม่
  • แนวทางที่แนะนำ
    • เปิดใช้ฟีเจอร์ ACME Renewal Information (ARI) (ช่วยระบุช่วงเวลาต่ออายุที่แม่นยำ)
    • ไคลเอนต์ที่ยังไม่รองรับ ARI: ตั้งค่าให้ต่ออายุเมื่ออายุใบรับรองผ่านไปประมาณ 2/3
    • ไม่แนะนำให้ต่ออายุแบบแมนนวล (เพราะต้องทำบ่อยเกินไป)
    • ควรมีระบบมอนิเตอร์การหมดอายุของใบรับรองอย่างแน่นอน

ฟีเจอร์ใหม่เพื่อความสะดวกด้านอัตโนมัติ (มีแผนนำมาใช้ในปี 2026)

  • เดินหน้ากำหนดมาตรฐานใหม่สำหรับชาเลนจ์ DNS-PERSIST-01
  • จุดเด่น: ตั้งค่า DNS TXT record เพียงครั้งเดียว แล้วไม่ต้องเปลี่ยนทุกครั้งที่ต่ออายุ
  • → ทำให้ต่ออายุอัตโนมัติได้เต็มรูปแบบ แม้ไม่มีสิทธิ์อัปเดต DNS อัตโนมัติ

ลิงก์ประกาศอย่างเป็นทางการ https://letsencrypt.org/2025/12/02/from-90-to-45

สรุป: ภายในปี 2028 ผู้ใช้ Let’s Encrypt ทุกคนจะต้องมีสภาพแวดล้อมที่รองรับการต่ออายุอัตโนมัติทุก 45 วัน + ARI + การมอนิเตอร์ เป็นพื้นฐานสำคัญ

บทความที่เกี่ยวข้อง

3 ความคิดเห็น

 
popopo 2025-12-05

ผมใช้งานโดยนำใบรับรองไปใช้กับโฮมแล็บอยู่ เลยสนใจ TLS2030 และกำลังเตรียมตัวอยู่ครับ

เนื่องจากใน Proxmox หรือ Nginx Proxy Manager สามารถออกใบรับรอง Let's Encrypt แบบอัตโนมัติได้ ดังนั้นโดเมนแต่ละตัวจึงไม่ได้มีปัญหาอะไรเป็นพิเศษ

แต่ใบรับรองแบบไวลด์การ์ดต้องออกครั้งหนึ่งแล้วนำไปใช้กับหลายระบบ จึงจำเป็นต้องมีระบบอย่าง Hashicorp Vault มีวิธีอื่นอีกไหมครับ?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

ผมจัดโครงสร้างตามสถาปัตยกรรมแบบนี้ ซึ่งจริง ๆ แล้วไม่จำเป็นต้องมี FreeIPA ก็ได้ โดยให้ Vault เป็น ROOT CA แทนที่จะเป็น Intermediate CA แล้วลงทะเบียน ROOT CA เป็น CA ที่เชื่อถือได้ในแต่ละระบบก็พอ

ส่วน FreeIPA เองก็เป็นการติดตั้ง FreeIPA client แล้วลงทะเบียนเป็น CA ที่เชื่อถือได้เช่นกัน ดังนั้นจึงเป็นเรื่องของการจะใช้ FreeIPA หรือจะลงทะเบียนเป็น CA ที่เชื่อถือได้ด้วย Ansible เป็นต้น

ข้อดีของการใช้ FreeIPA คือสามารถนำไปใช้เป็น DNS ภายในได้ แต่ผมคิดว่าตั้งแต่การติดตั้ง การดูแลระบบ ไปจนถึงการจัดการเมื่อเกิดปัญหา ความยากค่อนข้างสูง จึงมองว่าใช้แค่ Vault จะดีกว่าครับ
 
byun1114 2025-12-04

ผมออกใบรับรองแบบไวลด์การ์ดมาใช้อยู่ เลยยังไม่แน่ใจว่าจะเปลี่ยนไปอย่างไรบ้าง
 
techiemann 2025-12-04

ข่าวดีสำหรับผู้ใช้ทั่วไป อายุใบรับรองที่สั้นลงหมายถึงการจัดการที่ปลอดภัยและเป็นอัตโนมัติมากขึ้น แต่ในทางปฏิบัติก็แทบไม่มีสิ่งใดเปลี่ยนไปหากต่ออายุอัตโนมัติไว้แล้ว