Let’s Encrypt, Tổ chức Cấp Chứng chỉ phi lợi nhuận hàng đầu thế giới, vừa công bố kế hoạch rút ngắn thời hạn hiệu lực chứng chỉ SSL/TLS từ 90 ngày xuống còn 45 ngày và rút ngắn chu kỳ xác thực tên miền. Thay đổi này, triển khai dần từ năm 2026 và dự kiến hoàn tất vào năm 02/2028, không chỉ tuân thủ các quy định mới của ngành mà còn đặt ra yêu cầu cấp thiết về tự động hóa quy trình quản lý chứng chỉ đối với các quản trị viên website.
Vì sao Let’s Encrypt lại cắt giảm thời hạn?
Let’s Encrypt hiện đang cung cấp chứng chỉ SSL/TLS miễn phí với thời hạn 90 ngày cho hàng triệu website. Quyết định giảm thời hạn này không phải là một bước đi đơn lẻ mà là một phần của xu hướng rộng hơn trong ngành, được thúc đẩy bởi Yêu cầu Cơ sở (Baseline Requirements) của CA/Browser Forum một cơ quan thiết lập các tiêu chuẩn kỹ thuật cho tất cả các Tổ chức Cấp Chứng chỉ (CA) được công nhận công khai.
Mục tiêu chính của việc rút ngắn thời gian hiệu lực bao gồm:
- Hạn chế Phạm vi Thiệt hại: Nếu một khóa riêng (private key) bị xâm phạm hoặc đánh cắp, thời hạn sử dụng ngắn hơn sẽ giảm thiểu đáng kể khoảng thời gian kẻ tấn công có thể lợi dụng chứng chỉ đó một cách độc hại.
- Nâng cao Hiệu quả Thu hồi: Thời gian hiệu lực ngắn hơn cho phép các công nghệ thu hồi chứng chỉ (revocation) hoạt động nhanh chóng và hiệu quả hơn, loại bỏ các chứng chỉ lỗi hoặc bị nghi ngờ ra khỏi hệ thống mạng sớm nhất có thể.
Theo lộ trình, Let’s Encrypt cũng sẽ giảm mạnh thời gian tái sử dụng ủy quyền (Authorization Reuse Period) từ 30 ngày hiện tại xuống chỉ còn 7 giờ vào năm 2028. Điều này đồng nghĩa với việc quá trình xác minh quyền kiểm soát tên miền (Domain Control Validation – DCV) sẽ phải diễn ra thường xuyên hơn.
Lộ Trình Triển khai Giai đoạn (2026 – 2028)
Thay đổi sẽ được Let’s Encrypt áp dụng dần dần để giảm thiểu sự gián đoạn cho người dùng:
- 13/05/2026: Ra mắt hồ sơ ACME máy chủ TLS (tlsserver ACME profile) với chứng chỉ 45 ngày cho người dùng tiên phong và mục đích thử nghiệm (opt-in).
- 10/02/2027: Hồ sơ ACME cổ điển mặc định (classic ACME profile) sẽ chuyển sang cấp chứng chỉ có thời hạn 64 ngày cùng với thời gian tái sử dụng ủy quyền là 10 ngày.
- 16/02/2028: Hồ sơ cổ điển sẽ hoàn toàn chuyển sang cấp chứng chỉ 45 ngày với thời gian tái sử dụng ủy quyền chỉ còn 7 giờ.
Lưu ý rằng những thay đổi này sẽ có hiệu lực đối với các chứng chỉ mới được cấp hoặc gia hạn sau các ngày quy định trên.
Tự Động Hóa là Yếu Tố Cực Kỳ Quan Trọng
Với việc thời hạn hiệu lực chứng chỉ giảm từ 90 ngày (4 lần gia hạn/năm) xuống 45 ngày (8 lần gia hạn/năm), việc quản lý chứng chỉ thủ công sẽ trở nên gần như bất khả thi.
Let’s Encrypt nhấn mạnh rằng đối với nhiều người dùng, phần khó nhất trong việc tự động hóa cấp chứng chỉ là chứng minh quyền kiểm soát tên miền (Domain Control Validation – DCV). Việc giảm thời hạn chứng chỉ và đặc biệt là giảm thời gian tái sử dụng ủy quyền xuống chỉ còn 7 giờ vào năm 2028 sẽ buộc người dùng phải thực hiện quy trình xác thực DCV thường xuyên hơn so với trước đây.
Để hỗ trợ người dùng, Let’s Encrypt đang giới thiệu các tính năng mới:
- ACME Renewal Information (ARI): Giúp các ứng dụng khách xác định thời điểm tối ưu để gia hạn, giảm thiểu nguy cơ chứng chỉ hết hạn gây ra sự cố.
- Giao thức DNS-PERSIST-01 (đang phát triển): Cung cấp phương pháp xác thực đơn giản hóa cho các cấu hình DNS phức tạp, cho phép duy trì bản ghi xác minh ổn định mà không cần cập nhật thường xuyên.
Tóm lại, sự thay đổi này là một bước tiến quan trọng cho an ninh mạng toàn cầu, nhưng đồng thời cũng là lời nhắc nhở rằng việc tự động hóa quản lý chứng chỉ SSL/TLS không còn là một lựa chọn, mà là một yêu cầu bắt buộc.
