Letsencrypt verkürzt Zertifikate-Laufzeit schrittweise auf 45 Tage

[Mornsgrans]

Wer Zertifikate von Letsencrypt einsetzt, muss sich ab Mai 2026 auf eine kürzere Laufzeit einstellen:

Web-PKI: Let's Encrypt verkürzt Laufzeit von Zertifikaten auf 45 Tage

Die Entscheidung des CA- und Browser-Forums kappt Zertifikate nach 45 Tagen. Die Änderung kommt jedoch nicht schlagartig, Admins können ausgiebig testen.

www.heise.de

Am 13. Mai 2026 geht es los: Wer möchte, kann ab diesem Tag Zertifikate mit einer Laufzeit von 45 Tagen bestellen und muss dafür das optionale Zertifikatsprofil „tlsserver“ nutzen. Am 10. Februar 2027 sinkt die Laufzeit für alle neu ausgestellten Zertifikate dann zunächst auf 64 Tage und gut ein Jahr später, am 16. Februar 2028, auf 45 Tage.

Ich weiß von Usern, die eigene Nextcloud-Instanzen hosten und nur für die Zertifikatverlängerung den Port 80 auf dem Router öffnen. - Für die wird es dann etwas hektischer, weil sie nicht mehr alle 90 Tage dies durchführen können.

 

[Korfox]

Danke für den Hinweis.
Man muss ja ggf. auch seinen Certbot umstellen, IIRC.

 

[linrunner]

Kann Nextcloud die Verlängerung etwa nicht automatisch? Das wäre ein schwaches Bild.

Bei einem von mir betreuten Linux-Web-Server hab ich das mal in 2017(!) eingerichtet (certbot) und es läuft seitdem absolut wartungsfrei. Auch beim Web-Hoster ist das ein Klick und wird nie wieder angefasst.

Beitrag automatisch zusammengeführt: Gestern um 17:49

Man muss ja ggf. auch seinen Certbot umstellen, IIRC.

Wozu das denn bitte? Seit 2017 wurde x-mal die Laufzeit verkürzt, ohne dass eine Änderung nötig war. certbot schaut einfach die Restlaufzeit des Zertifikats an und fordert rechtzeitig ein Neues an.

 

[KB19]

Seit 2017 wurde x-mal die Laufzeit verkürzt, ohne dass eine Änderung nötig war.

Die Gültigkeit bei LE war immer 90 Tage, da wurde bisher noch nie etwas verkürzt.

 

[Korfox]

Kann Nextcloud die Verlängerung etwa nicht automatisch? Das wäre ein schwaches Bild.

Bei einem von mir betreuten Linux-Web-Server hab ich das mal in 2017(!) eingerichtet (certbot) und es läuft seitdem absolut wartungsfrei. Auch beim Web-Hoster ist das ein Klick und wird nie wieder angefasst.

Beitrag automatisch zusammengeführt: Gestern um 17:49

Wozu das denn bitte? Seit 2017 wurde x-mal die Laufzeit verkürzt, ohne dass eine Änderung nötig war. certbot schaut einfach die Restlaufzeit des Zertifikats an und fordert rechtzeitig ein Neues an.

Ich weiß es nicht mehr. Ich habe das vor Ewigkeiten eingerichtet. Also Certbot habe ich definitiv benutzt. Aber weiß Gott wie ich das mit den Verlängerungen mache.

Aber genau deswegen stehen da "ggf " und "iirc".

 

[Mornsgrans]

Kann Nextcloud die Verlängerung etwa nicht automatisch? Das wäre ein schwaches Bild.

Du hast nicht alles gelesen:

Ich weiß von Usern, die eigene Nextcloud-Instanzen hosten und nur für die Zertifikatverlängerung den Port 80 auf dem Router öffnen.

Ohne Port 80 kann Letsencrypt das Zertifikat nicht validieren. User, die den Port 80 im Router geschlossen haben, müssen demzufolge die Zertifikatverlängerung manuell durchführen.

Standard bei Nextcloud ist eine automatische Zertifikatverlängerung alle 30 Tage via cron.

 

[darthvader]

Geht auch ohne Port 80, siehe z.B. DNS-01 - https://letsencrypt.org/docs/challenge-types/

 

[Mornsgrans]

Richtig, nutzen aber die wenigsten - ich auch nicht

 

[linrunner]

Du hast nicht alles gelesen:

Doch, doch. Nur anders als es gemeint war.

 

[schoerg]

Kann Nextcloud die Verlängerung etwa nicht automatisch? Das wäre ein schwaches Bild.

Warum soll Nextcloud das machen müssen?

Geht auch ohne Port 80, siehe z.B. DNS-01 - https://letsencrypt.org/docs/challenge-types/

Oder mit tls-alpn-01 aber steht eh auch im Link.


Ansonsten ist Port 80 offen zu haben auch nicht weiter schlimm.