Let’s Encrypt công bố rút ngắn thời hạn hiệu lực chứng chỉ từ 90 ngày xuống 45 ngày (áp dụng theo từng giai đoạn đến năm 2028)

Lý do thay đổi

• Yêu cầu theo tiêu chuẩn của CA/Browser Forum (áp dụng giống nhau cho mọi CA công khai trên toàn thế giới)
• Tăng cường bảo mật Internet (thời hạn hiệu lực ngắn hơn giúp giới hạn phạm vi thiệt hại khi bị tấn công + tăng hiệu quả thu hồi)

Thay đổi về thời hạn hiệu lực chứng chỉ

• Hiện tại: 90 ngày
• Sau năm 2028: 45 ngày

Thay đổi về thời gian tái sử dụng xác minh quyền sở hữu tên miền

• Hiện tại: 30 ngày
• Sau năm 2028: 7 giờ

Lịch áp dụng theo từng giai đoạn (áp dụng cho chứng chỉ được cấp mới)

• 13/5/2026: hồ sơ opt-in (tlsserver) → bắt đầu cấp chứng chỉ 45 ngày (có thể thử nghiệm)
• 10/2/2027: hồ sơ mặc định (classic) → chứng chỉ 64 ngày + tái sử dụng xác minh 10 ngày
• 16/2/2028: hồ sơ mặc định (classic) → chứng chỉ 45 ngày + tái sử dụng xác minh 7 giờ

Người dùng cần làm gì

• Phần lớn người dùng gia hạn tự động: không cần thao tác riêng
• Tuy nhiên, bắt buộc phải kiểm tra chu kỳ gia hạn tự động có tương thích với chứng chỉ 45 ngày hay không
• Hành động được khuyến nghị
  • Bật tính năng ACME Renewal Information (ARI) (hướng dẫn thời điểm gia hạn chính xác)
  • Với client chưa hỗ trợ ARI: cấu hình để gia hạn vào khoảng mốc 2/3 vòng đời chứng chỉ
  • Không khuyến nghị gia hạn thủ công (vì sẽ phải làm quá thường xuyên)
  • Bắt buộc xây dựng hệ thống giám sát hết hạn chứng chỉ

Các tính năng tiện lợi mới cho tự động hóa (dự kiến triển khai năm 2026)

• Thúc đẩy chuẩn hóa challenge DNS-PERSIST-01 mới
• Đặc điểm: chỉ cần cấu hình bản ghi DNS TXT một lần, không cần thay đổi mỗi lần gia hạn
• → Có thể gia hạn hoàn toàn tự động ngay cả khi không có quyền cập nhật DNS tự động

Liên kết thông báo chính thức https://letsencrypt.org/2025/12/02/from-90-to-45

Kết luận: đến năm 2028, với mọi người dùng Let’s Encrypt, môi trường bắt buộc sẽ là gia hạn tự động theo chu kỳ 45 ngày + ARI + giám sát.