Let’s Encrypt เตรียมปรับโครงสร้างใบรับรองครั้งใหญ่ เพิ่ม Root ใหม่ ยุติ TLS Client Authentication และลดอายุใบรับรองในระยะยาว

20 ธันวาคม 2025 modify ข่าว 0

Let's Encrypt

Let’s Encrypt ประกาศใช้โครงสร้าง Generation Y พร้อมไทม์ไลน์เปลี่ยน Root CA และลดอายุ Certificate เหลือ 45 วันในปี 2028 โดยผู้ใช้ส่วนใหญ่ไม่ต้องดำเนินการทันที


Let’s Encrypt ประกาศผ่านฟอรัมชุมชนอย่างเป็นทางการถึงการเปลี่ยนแปลงสำคัญหลายรายการที่กำลังจะเกิดขึ้นกับระบบใบรับรองความปลอดภัย ซึ่งครอบคลุมทั้งการเพิ่ม Root CA ใหม่ การยุติการรองรับ TLS Client Authentication และการลดอายุการใช้งานของใบรับรอง เพื่อให้สอดคล้องกับข้อกำหนดใหม่ของอุตสาหกรรมและ CA/Browser Forum โดยระบุว่าผู้ใช้งานส่วนใหญ่ที่ใช้การตั้งค่าแบบมาตรฐานไม่จำเป็นต้องดำเนินการใด ๆ ในทันที

Let’s Encrypt ระบุว่าได้สร้าง Root Certification Authority ใหม่จำนวน 2 รายการ และ Intermediate CA ใหม่ 6 รายการ ภายใต้โครงสร้างที่เรียกว่า Generation Y ซึ่งถูก cross-sign จาก Root เดิมในตระกูล Generation X คือ X1 และ X2 ทำให้ใบรับรองยังคงสามารถใช้งานได้ในสภาพแวดล้อมที่เชื่อถือ Root เดิมอยู่แล้ว การเปลี่ยนผ่านนี้ถูกออกแบบมาเพื่อลดผลกระทบต่อผู้ใช้และระบบเดิม

สำหรับผู้ใช้ทั่วไปที่ขอใบรับรองผ่าน classic profile ซึ่งเป็นค่าเริ่มต้น ระบบจะเริ่มสลับไปใช้โครงสร้าง Generation Y ในวันที่ 13 พฤษภาคม 2026 โดย Intermediate CA ใหม่จะไม่มี Extended Key Usage สำหรับ TLS Client Authentication ตามข้อกำหนดใหม่ของ root program ทั้งนี้ Let’s Encrypt ได้ประกาศไว้ก่อนหน้านี้แล้วว่าจะยุติการรองรับ TLS Client Authentication ตั้งแต่เดือนกุมภาพันธ์ 2026

ผู้ใช้งานที่ยังจำเป็นต้องใช้ TLS Client Authentication หรือยังไม่พร้อมเปลี่ยนระบบ สามารถเลือกใช้ tlsclient profile ต่อไปได้จนถึงเดือนพฤษภาคม 2026 โดยโปรไฟล์นี้จะยังคงออกใบรับรองจากโครงสร้าง Generation X เดิมในช่วงเวลาดังกล่าว

ในส่วนของผู้ที่ใช้งาน tlsserver profile หรือ shortlived profile จะเริ่มได้รับใบรับรองจากโครงสร้าง Generation Y ซึ่งถือเป็นการเปิดให้ใช้งานใบรับรองแบบอายุสั้นหรือ short-lived certificates อย่างเป็นทางการ รวมถึงการรองรับการออกใบรับรองให้กับ IP Address อย่างไรก็ตาม Let’s Encrypt ได้อัปเดตเพิ่มเติมภายหลังว่า การสลับไปใช้ Generation Y สำหรับ tlsserver และ shortlived profiles ถูกเลื่อนออกไปเป็นวันที่ 7 มกราคม 2026 เนื่องจากต้องดำเนินการปรับปรุงระบบภายในเพิ่มเติมหลังช่วงหยุด deploy ปลายปี

Let’s Encrypt ยังประกาศไทม์ไลน์การลดอายุการใช้งานของใบรับรองเพื่อให้สอดคล้องกับข้อกำหนดใหม่ของ CA/Browser Forum โดยในปีถัดไปจะเปิดให้ผู้ใช้งานสามารถ opt-in ใบรับรองอายุ 45 วันสำหรับการทดสอบและ early adopters ผ่าน tlsserver profile จากนั้นในปี 2027 จะลดอายุใบรับรองเริ่มต้นลงเหลือ 64 วัน และจะลดลงอีกครั้งเหลือ 45 วันในปี 2028

Let’s Encrypt ย้ำว่าระบบที่ตั้งค่าการต่ออายุใบรับรองแบบอัตโนมัติไว้แล้วจะได้รับผลกระทบน้อยมาก แต่แนะนำให้ผู้ดูแลระบบและนักพัฒนาตรวจสอบรายละเอียดการเปลี่ยนแปลงทั้งหมดล่วงหน้า โดยเฉพาะระบบที่ยังพึ่งพา TLS Client Authentication หรือยังไม่มีการจัดการอายุใบรับรองแบบอัตโนมัติเต็มรูปแบบ

สรุปประเด็นสำคัญจากการประกาศของ Let’s Encrypt

1. การเปลี่ยนโครงสร้างระบบ root (New Root & Intermediate CAs)

  • Let’s Encrypt ออก Root CA ใหม่ (Generation Y) จำนวน 2 รายการ และ Intermediate CA ใหม่อีก 6 รายการ
  • เหตุผลของการเปลี่ยนแปลงคือเพื่อรองรับมาตรฐานใหม่ของอุตสาหกรรม และข้อกำหนดจาก Root Program ของเบราว์เซอร์ในอนาคต
  • ผลกระทบคือ Root และ Intermediate ใหม่ถูก cross-signed กับระบบเดิม (Generation X: X1 และ X2) ทำให้ยังคงใช้งานได้กับอุปกรณ์และระบบที่เชื่อถือ root เดิมอยู่แล้ว

2. การยุติการรองรับ TLS Client Authentication

  • ใบรับรองที่ออกจากโครงสร้าง Generation Y จะไม่รองรับ TLS Client Authentication อีกต่อไป เนื่องจาก Intermediate ใหม่ไม่มี Extended Key Usage ประเภทนี้ตามข้อกำหนดใหม่ของ Root Program
  • กำหนดการยุติอย่างเป็นทางการคือเดือนกุมภาพันธ์ 2026
  • ผู้ที่ยังจำเป็นต้องใช้ TLS Client Authentication สามารถเลือกใช้ tlsclient profile ต่อไปได้จนถึงเดือนพฤษภาคม 2026 โดยโปรไฟล์นี้จะยังคงออกใบรับรองจากโครงสร้าง Generation X

3. การลดระยะเวลาอายุของใบรับรอง (Shortening Certificate Lifetimes)

เพื่อให้สอดคล้องกับข้อกำหนดใหม่ของ CA/Browser Forum Let’s Encrypt จะค่อย ๆ ลดอายุการใช้งานของใบรับรองลง โดยมีไทม์ไลน์ดังนี้

  • ปี 2025: เปิดให้เลือกทดลองใบรับรองอายุ 45 วันแบบ opt-in ผ่าน tlsserver profile สำหรับ early adopters และการทดสอบ
  • ปี 2027: ลดค่าเริ่มต้นของอายุใบรับรองลงเหลือ 64 วัน
  • ปี 2028: ลดค่าเริ่มต้นลงอีกครั้งเหลือ 45 วัน

การเปลี่ยนแปลงนี้ส่งผลกระทบต่ำต่อระบบที่ตั้งค่าการต่ออายุใบรับรองแบบอัตโนมัติไว้แล้ว แต่ระบบที่ต่ออายุแบบ manual ควรเตรียมปรับกระบวนการล่วงหน้า

4. การรองรับ IP Address และใบรับรองอายุสั้น (Short-lived Certificates)

Let’s Encrypt ระบุว่า short-lived certificates กำลังเข้าสู่สถานะ general availability แบบ opt-in ผ่าน shortlived profile และเริ่มรองรับการออกใบรับรองให้กับ IP Address เพิ่มเติมจากเดิมที่รองรับเฉพาะ Domain Name

5. กำหนดการที่สำคัญ

  • 7 มกราคม 2026: โปรไฟล์ tlsserver และ shortlived จะเริ่มออกใบรับรองจากโครงสร้าง Generation Y (เลื่อนจากแผนเดิมเนื่องจากช่วง end-of-year deployment freeze)
  • 13 พฤษภาคม 2026: ผู้ใช้ทั่วไปที่ใช้ classic profile จะถูกย้ายไปใช้โครงสร้าง Generation Y โดยอัตโนมัติ

ที่มา: Let’s Encrypt Community

About modify 6717 Articles
สามารถนำบทความไปเผยแพร่ได้อย่างอิสระ โดยกล่าวถึงแหล่งที่มา เป็นลิงค์กลับมายังบทความนั้นๆ บทความอาจมีการพิมพ์ตกเรื่องภาษาไปบ้าง ต้องขออภัย พยามจะพิมพ์ผิดให้น้อยที่สุด (ทำเว็บคนเดียวไม่มีคนตรวจทาน) บทความที่สอนเรื่องต่างๆ กรุณาอ่านบทความให้เข้าใจก่อนโพสต์ถาม ติดตรงไหนสามารถถามได้ที่โพสต์นั้นๆ

Be the first to comment

Leave a Reply

Your email address will not be published.