Let’s Encrypt 6-day certificates: зачем они нужны и почему не всем
Короткие сертификаты звучат безопасно, но без автоматизации они быстро превращаются в источник аварий.
Let’s Encrypt сделал 6-day certificates общедоступными. На бумаге идея понятная: чем короче срок жизни сертификата, тем меньше окно риска при компрометации ключа или ошибочной выдаче.
Но для обычного VPS это не означает, что завтра нужно переводить все домены на шестидневные сертификаты.
Где это полезно
Короткие сертификаты хорошо ложатся на инфраструктуру, где автоматизация уже не обсуждается:
- контейнеры и ephemeral-сервисы;
- внутренние платформы;
- частая ротация окружений;
- инфраструктура, где ACME-клиент работает стабильно и мониторится.
Там сертификат — не файл, который админ руками обновляет раз в три месяца, а часть автоматического процесса.
Где опасность
Если на VPS нет мониторинга certbot timer, нет уведомлений и никто не смотрит логи, 6 дней — это не безопасность, а таймер до простоя. Ошибка DNS, rate limit, сломанный webroot или права на каталог быстро превращаются в expired certificate.
Для маленького публичного сайта пока разумнее убедиться, что обычное автообновление работает идеально:
systemctl list-timers;certbot renew --dry-run;- уведомления об ошибках cron/systemd;
- backup nginx-конфига;
- проверка Full (Strict) при Cloudflare.
Вывод
6-day certificates — хорошее направление для автоматизированной инфраструктуры. Но если процесс обновления сертификатов не наблюдается, сначала нужно чинить процесс, а уже потом сокращать срок жизни сертификата.
Источник: Let’s Encrypt: 6-day and IP Address Certificates are Generally Available.