Let’s Encrypt mengumumkan pemangkasan masa berlaku sertifikat dari 90 hari → 45 hari (diterapkan bertahap hingga 2028)
(letsencrypt.org)Alasan perubahan
- Persyaratan standar CA/Browser Forum (berlaku sama untuk semua CA publik di seluruh dunia)
- Penguatan keamanan internet (masa berlaku lebih pendek membatasi cakupan dampak saat terjadi peretasan + meningkatkan efisiensi pencabutan)
Perubahan masa berlaku sertifikat
- Saat ini: 90 hari
- Setelah 2028: 45 hari
Perubahan masa pakai ulang validasi kepemilikan domain
- Saat ini: 30 hari
- Setelah 2028: 7 jam
Jadwal penerapan bertahap (berlaku mulai sertifikat yang baru diterbitkan)
- 13 Mei 2026: profil opt-in (
tlsserver) → mulai menerbitkan sertifikat 45 hari (bisa diuji) - 10 Februari 2027: profil default (
classic) → sertifikat 64 hari + pakai ulang validasi 10 hari - 16 Februari 2028: profil default (
classic) → sertifikat 45 hari + pakai ulang validasi 7 jam
Yang perlu dilakukan pengguna
- Sebagian besar pengguna perpanjangan otomatis: tidak perlu tindakan tambahan
- Namun, wajib memastikan siklus perpanjangan otomatis kompatibel dengan sertifikat 45 hari
- Tindakan yang direkomendasikan
- Aktifkan fitur ACME Renewal Information (ARI) (memberi panduan waktu perpanjangan yang akurat)
- Klien yang belum mendukung ARI: atur agar melakukan perpanjangan di sekitar titik 2/3 masa hidup sertifikat
- Perpanjangan manual tidak direkomendasikan (karena harus terlalu sering dilakukan)
- Wajib membangun sistem pemantauan kedaluwarsa sertifikat
Fitur kemudahan otomatisasi baru (direncanakan hadir pada 2026)
- Standardisasi baru untuk tantangan DNS-PERSIST-01 sedang didorong
- Karakteristik: cukup atur DNS TXT record sekali, lalu tidak perlu diubah setiap kali perpanjangan
- → Perpanjangan sepenuhnya otomatis tetap dimungkinkan tanpa izin pembaruan DNS otomatis
Tautan pengumuman resmi https://letsencrypt.org/2025/12/02/from-90-to-45
Kesimpulannya: hingga 2028, semua pengguna Let’s Encrypt akan membutuhkan lingkungan dengan perpanjangan otomatis siklus 45 hari + ARI + pemantauan sebagai kebutuhan dasar.
3 komentar
Saya menerapkan sertifikat di homelab, jadi saya sedang memperhatikan TLS2030 dan bersiap-siap.
Karena penerbitan otomatis sertifikat Let's Encrypt tersedia di Proxmox atau Nginx Proxy Manager, domain individual tidak menjadi masalah khusus.
Karena sertifikat wildcard harus diterbitkan sekali lalu digunakan di banyak sistem, sistem seperti Hashicorp Vault menjadi wajib. Apakah ada cara lain?
https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate
Saya menyusunnya dengan arsitektur seperti ini, dan FreeIPA sebenarnya tidak wajib. Vault menjadi ROOT CA, bukan Intermediate CA, lalu ROOT CA didaftarkan ke tiap sistem sebagai CA tepercaya.
FreeIPA juga pada dasarnya mendaftarkannya sebagai CA tepercaya saat memasang klien FreeIPA, jadi intinya adalah apakah memakai FreeIPA, atau mendaftarkannya sebagai CA tepercaya dengan Ansible dan sejenisnya.
FreeIPA memang punya kelebihan karena bisa dimanfaatkan sebagai DNS internal, tetapi menurut saya tingkat kesulitannya cukup tinggi mulai dari instalasi, operasional, hingga penanganan gangguan, jadi saya rasa lebih baik cukup memakai Vault saja.
Saya menggunakan sertifikat wildcard yang diterbitkan, jadi saya belum tahu bagaimana ini akan berubah.
Bagi pengguna individu, ini terasa seperti kabar buruk seperti “harus lebih sering memperbarui,” tetapi kenyataannya dampaknya hampir tidak ada. Saat ini sebagian besar sertifikat Let’s Encrypt sudah diperbarui otomatis, jadi berkurangnya masa berlaku dari 90 hari menjadi 45 hari praktis tidak akan terlihat oleh pengguna biasa.
Sebaliknya, perubahan ini bisa menjadi kabar baik dari sudut pandang keamanan. Jika kunci terekspos atau sertifikat diterbitkan secara keliru, periode risiko dapat dipersingkat. Ini juga akan menjadi momentum untuk menyebarkan otomatisasi pengelolaan sertifikat lebih luas di seluruh industri.
Pada akhirnya, arah ini menunjukkan bahwa sertifikat TLS semakin bergeser dari sesuatu yang “dikelola manual” menjadi infrastruktur yang “menjadi default untuk diautomasi.”