Let's Encrypt hat im Januar 2025 angekündigt, neben den bisherigen 90-Tage-Zertifikaten auch eine Variante mit nur sechs Tagen Laufzeit auszustellen. Ab Sommer 2025 sind diese für alle Subscriber verfügbar.
Der Grund: ein kompromittierter privater Schlüssel lässt sich nur schwer rechtzeitig revoken. CRLs und OCSP werden in der Praxis von Clients oft ignoriert. Bei sechs Tagen Lifetime ist ein gestohlenes Zertifikat nach kurzer Zeit ohnehin abgelaufen, der Schaden begrenzt.
Für Cyberdine-Kunden ändert sich nichts: unsere acme.sh-Integration auf den Mailservern und Webservern erneuert die Zertifikate automatisiert, unabhängig von der gewählten Lifetime. Sechs Tage statt 90 Tage bedeutet schlicht häufigere Erneuerungen im Hintergrund.
Wer eigene Server betreibt und Let's Encrypt manuell nutzt, sollte den Wechsel auf vollautomatische Renewal-Prozesse jetzt vorbereiten – manuelle 90-Tage-Renewals werden mit 6-Tage-Zertifikaten unbedienbar.