Nueva jerarquía de certificados Generation Y de Let’s Encrypt

Let’s Encrypt ha anunciado importantes actualizaciones relacionadas con la nueva jerarquía de certificados, la eliminación de la autenticación de clientes TLS y los planes para reducir la validez de los certificados.

Jerarquía de certificados Generation Y

La nueva jerarquía Generation Y consta de dos centros de certificación raíz y seis intermedios. Los nuevos centros de certificación cuentan con la firma cruzada de los centros raíz de la generación X, por lo que se mantiene la confianza en ellos.

A principios de 2026 se dejará de admitir la autenticación de clientes TLS. Además, el perfil ACME clásico pasará a la nueva jerarquía por defecto el 13 de mayo de 2026. Los usuarios que aún necesiten el perfil tlsclient podrán utilizarlo hasta mayo, ya que permanecerá en los certificados de la generación X.

En cuanto a la reducción de la validez de los certificados, el año que viene los primeros probadores y usuarios podrán acceder a un certificado de 45 días a través de tlsserver. En 2027 está previsto reducir el plazo a 64 días, y en 2028 a 45 días. De este modo, será posible aumentar considerablemente la seguridad gracias a la aceleración de las actualizaciones criptográficas y la reducción de la «ventana de ataque».

Ya esta semana, los usuarios de perfiles con una validez corta y tlsserver tendrán acceso a los certificados de la generación Y.