Let's Encrypt lanceert tls-certificaten met levensduur van zes dagen
Certificaatautoriteit Let's Encrypt biedt vanaf nu ook tls-certificaten aan met een levensduur van zes dagen. Volgens Matthew McPherrin van het ISRG, de organisatie achter Let's Encrypt, verbeteren certificaten met een korte levensduur de veiligheid, omdat ze vaker validatie vereisen en minder afhankelijk zijn van "onbetrouwbare intrekmechanismes".
Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen. Daarnaast zijn ze ook minder afhankelijk van de methodes die nu worden gebruikt om gecompromitteerde of ongeldig uitgegeven certificaten in te trekken. "Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin.
Vooralsnog zijn de "short-lived" certificaten opt-in en moeten gebruikers van Let's Encrypt hier zelf voor kiezen. Gebruikers die het vernieuwingsproces van hun certificaten volledig hebben geautomatiseerd zouden volgens McPherrin eenvoudig naar de zesdaagse certificaten moeten kunnen overstappen. Onlangs maakte Let's Encrypt al bekend dat de standaard levensduur van certificaten die het uitgeeft wordt verkort van 90 naar 45 dagen. Dat staat gepland voor begin 2028.
Reacties (19)
16-01-2026, 19:11 door
Anoniem
"Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin.
Mijns inziens was OCSP stapling een goede - hoewel niet perfecte - oplossing, waarbij de server zelf het bewijs presenteerde dat het certificaat nog (maximaal 7 dagen bij LE) geldig was.https://en.wikipedia.org/wiki/OCSP_stapling
Helaas heeft LE dat zelf de nek omgedraaid.
16-01-2026, 19:41 door
Anoniem
De laatste keer dat ik de certificaten ging vernieuwen heb ik het over twee dagen moeten spreiden omdat DNS servers in-sync waren. Voor een wildcard cert. zijn twee hashes nodig en dan ook nog tegelijkertijd in een bepaalde volgorde.
Als het straks om de zes dagen moet dan geef ik het op.
Als het straks om de zes dagen moet dan geef ik het op.
16-01-2026, 21:11 door
Anoniem
Hoe vaak worden certificaten gehacked eigenlijk? Welk probleem wordt hiermee opgelost? 6 dagen levensduur vereist automation, hoe is dat veiliger? Iets wat automatisch doorloopt ook al is het gehacked? Niemand kijkt er immers meer naar. Is toch automagisch?
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
17-01-2026, 01:52 door
Anoniem
Ze hebben geen zin om steeds maar weer gestolen certificaten terugtrekken en daarom maken ze nu van hun probleem, jouw probleem.
17-01-2026, 12:02 door
Anoniem
17-01-2026, 14:23 door
Anoniem
Door Anoniem: Ze hebben geen zin om steeds maar weer gestolen certificaten terugtrekken en daarom maken ze nu van hun probleem, jouw probleem.
Als jouw certificaat gestolen wordt is dat sowieso jouw probleem omdat je daar zelf verantwoordelijk voor bent. Of je daar met een 6 dagen certificaat een voordeel mee hebt weet ik niet omdat je die volgens mij niet kan laten intrekken. En ik weet niet hoe snel ze een certificaat kunnen intrekken. Als een CA signing key gestolen wordt is dat een heel ander probleem.
17-01-2026, 14:30 door
Anoniem
Door Anoniem: Hoe vaak worden certificaten gehacked eigenlijk? Welk probleem wordt hiermee opgelost? 6 dagen levensduur vereist automation, hoe is dat veiliger? Iets wat automatisch doorloopt ook al is het gehacked? Niemand kijkt er immers meer naar. Is toch automagisch?
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Als je naar dikketieten-punt-nl gaat dan gaat jouw browser niet bij LE vragen of je ze mag zien. Onder andere je browser weet al dat certificaten van LE als vertrouwd staan aangemerkt. Zij zijn een CA (Certificate Authority). Als een website jou een certificaat laat zien die ondertekend (lees goedgekeurd) is door LE, zal die het certificaat automatisch vertrouwen.
17-01-2026, 14:51 door
Anoniem
Door Anoniem:
Als je naar dikketieten-punt-nl gaat dan gaat jouw browser niet bij LE vragen of je ze mag zien. Onder andere je browser weet al dat certificaten van LE als vertrouwd staan aangemerkt. Zij zijn een CA (Certificate Authority). Als een website jou een certificaat laat zien die ondertekend (lees goedgekeurd) is door LE, zal die het certificaat automatisch vertrouwen.
Door Anoniem: Hoe vaak worden certificaten gehacked eigenlijk? Welk probleem wordt hiermee opgelost? 6 dagen levensduur vereist automation, hoe is dat veiliger? Iets wat automatisch doorloopt ook al is het gehacked? Niemand kijkt er immers meer naar. Is toch automagisch?
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Als je naar dikketieten-punt-nl gaat dan gaat jouw browser niet bij LE vragen of je ze mag zien. Onder andere je browser weet al dat certificaten van LE als vertrouwd staan aangemerkt. Zij zijn een CA (Certificate Authority). Als een website jou een certificaat laat zien die ondertekend (lees goedgekeurd) is door LE, zal die het certificaat automatisch vertrouwen.
Nou nee, in het huidige model gaat je browser bij een uitgifte instantie OOK even controleren of het dikke-tieten.nl certificaat dat gepresenteerd wordt nog geldig is en niet ingetrokken.
Dat is een privacy probleem - en een enorm load probleem. (ondanks caching).
Wat "men" met de veel kortere lifetimes wil bereiken is het afschaffen van die geldigheidscheck.
17-01-2026, 14:52 door
Anoniem
Door Anoniem: Ze hebben geen zin om steeds maar weer gestolen certificaten terugtrekken en daarom maken ze nu van hun probleem, jouw probleem.
Bijna goed. Ze hebben geen zin in de load van het hele internet die telkens checken _of_ een certificaat niet ingetrokken is.
17-01-2026, 14:56 door
Anoniem
Door Anoniem: De laatste keer dat ik de certificaten ging vernieuwen heb ik het over twee dagen moeten spreiden omdat DNS servers in-sync waren. Voor een wildcard cert. zijn twee hashes nodig en dan ook nog tegelijkertijd in een bepaalde volgorde.
Als het straks om de zes dagen moet dan geef ik het op.
Als het straks om de zes dagen moet dan geef ik het op.
Kun je je "probleem" eens uitdrukken met begrijpelijke termen ?
Ik ben echt wel bekend met DNS - maar waarom "de DNS servers in-sync waren" betekent dat jij iets over twee dagen moet spreiden snap ik totaal niet .
Wilde gok : Als je snel(ler) DNS fouten wilt corrigeren zet je een TTL op een record korter ?
Overigens - als je certifcaat renewal nou nog niet geautomatiseerd hebt moet je dat inderdaad maar opgeven (of : overgeven aan iemand die het wel automatisch kan maken).
17-01-2026, 16:59 door
Anoniem
Door Anoniem:
Nou nee, in het huidige model gaat je browser bij een uitgifte instantie OOK even controleren of het dikke-tieten.nl certificaat dat gepresenteerd wordt nog geldig is en niet ingetrokken.
Dat is een privacy probleem - en een enorm load probleem. (ondanks caching).
Wat "men" met de veel kortere lifetimes wil bereiken is het afschaffen van die geldigheidscheck.
Door Anoniem:
Als je naar dikketieten-punt-nl gaat dan gaat jouw browser niet bij LE vragen of je ze mag zien. Onder andere je browser weet al dat certificaten van LE als vertrouwd staan aangemerkt. Zij zijn een CA (Certificate Authority). Als een website jou een certificaat laat zien die ondertekend (lees goedgekeurd) is door LE, zal die het certificaat automatisch vertrouwen.
Door Anoniem: Hoe vaak worden certificaten gehacked eigenlijk? Welk probleem wordt hiermee opgelost? 6 dagen levensduur vereist automation, hoe is dat veiliger? Iets wat automatisch doorloopt ook al is het gehacked? Niemand kijkt er immers meer naar. Is toch automagisch?
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Klinkt meer als een opmaat voor iets anders. Bovendien, privacy? Je gaat naar dikketieten-punt-nl, en dan ben je bang voor een certificaat check bij LE? Dan kun je ook nog via https je dns laten lopen.
Als je naar dikketieten-punt-nl gaat dan gaat jouw browser niet bij LE vragen of je ze mag zien. Onder andere je browser weet al dat certificaten van LE als vertrouwd staan aangemerkt. Zij zijn een CA (Certificate Authority). Als een website jou een certificaat laat zien die ondertekend (lees goedgekeurd) is door LE, zal die het certificaat automatisch vertrouwen.
Nou nee, in het huidige model gaat je browser bij een uitgifte instantie OOK even controleren of het dikke-tieten.nl certificaat dat gepresenteerd wordt nog geldig is en niet ingetrokken.
Dat is een privacy probleem - en een enorm load probleem. (ondanks caching).
Wat "men" met de veel kortere lifetimes wil bereiken is het afschaffen van die geldigheidscheck.
Nee, je browser doet dat niet altijd. In ieder geval niet voor LE. LE heeft OCSP support in 2025 uitgeschakeld https://letsencrypt.org/2024/12/05/ending-ocsp
LE noemt expliciet de privacy issues met OCSP.
Chrome/Edge (Chromium) doen standaard geen live OCSP/CRL-checks bij elke verbinding.
Het verschilt dus gewoon per browser/CA. LE doet dus niet (meer).
17-01-2026, 17:06 door
Anoniem
Door Anoniem:
Bijna goed. Ze hebben geen zin in de load van het hele internet die telkens checken _of_ een certificaat niet ingetrokken is.
Door Anoniem: Ze hebben geen zin om steeds maar weer gestolen certificaten terugtrekken en daarom maken ze nu van hun probleem, jouw probleem.
Bijna goed. Ze hebben geen zin in de load van het hele internet die telkens checken _of_ een certificaat niet ingetrokken is.
Ik verwacht niet dat hierdoor het hele internet stopt met het valideren van hun certificaten (ook ben ik niet bekent met populaire consumenten software die dat standaard doet). Zou de load niet juist enorm stijgen als iedereen 15x zo vaak gaat vernieuwen.
Ik bedenk me net ook dat let's encrypt een wapen kan zijn. Door bijvoorbeeld alle ip addressen of domeinen uit een bepaald land te blokeren kan een groot gedeelte van het internet uitgezet worden. Vooral met een 6 dagen certificaat is dat erg effectief.
17-01-2026, 20:16 door
Anoniem
Het internet werkt ook nog zonder encryptie. Het is encryptie van verkeer en het zou juist kunnen leiden tot een conversie naar een alteratieve encryptie op basis van DNSSEC.
17-01-2026, 20:39 door
Anoniem
Door Anoniem:
Ik verwacht niet dat hierdoor het hele internet stopt met het valideren van hun certificaten (ook ben ik niet bekent met populaire consumenten software die dat standaard doet). Zou de load niet juist enorm stijgen als iedereen 15x zo vaak gaat vernieuwen.
Door Anoniem:
Bijna goed. Ze hebben geen zin in de load van het hele internet die telkens checken _of_ een certificaat niet ingetrokken is.
Door Anoniem: Ze hebben geen zin om steeds maar weer gestolen certificaten terugtrekken en daarom maken ze nu van hun probleem, jouw probleem.
Bijna goed. Ze hebben geen zin in de load van het hele internet die telkens checken _of_ een certificaat niet ingetrokken is.
Ik verwacht niet dat hierdoor het hele internet stopt met het valideren van hun certificaten (ook ben ik niet bekent met populaire consumenten software die dat standaard doet). Zou de load niet juist enorm stijgen als iedereen 15x zo vaak gaat vernieuwen.
Populaire consumentensoftware die het doet zijn "browsers" , via OCSP protocol.
Het is (zoals iemand opmerkt) de certificaat provider die dit (kan) stoppen door OCSP URL niet meer in het certificaat op te nemen.
LE is afgelopen jaar gestopt met OCSP support (vooroplopend op korter levende certificaten - en het herleven van CRLs) .
https://letsencrypt.org/2025/08/06/ocsp-service-has-reached-end-of-life
Er is qua load *natuurlijk* een enorm verschil tussen wat alle clients doen, versus wat "alle servers" doen .
Omdat de verhouding clients - servers geen 1: 1 is.
17-01-2026, 23:05 door
Anoniem
@20:39
Firefox/Chrome zijn al een poosje overgestapt naar CRL systemen en verifieren niet meer via OCSP URLs.
Firefox/Chrome zijn al een poosje overgestapt naar CRL systemen en verifieren niet meer via OCSP URLs.
18-01-2026, 12:11 door
Anoniem
Door Anoniem: @20:39
Firefox/Chrome zijn al een poosje overgestapt naar CRL systemen en verifieren niet meer via OCSP URLs.
Firefox/Chrome zijn al een poosje overgestapt naar CRL systemen en verifieren niet meer via OCSP URLs.
Relatief kort voor FF
https://hacks.mozilla.org/2025/08/crlite-fast-private-and-comprehensive-certificate-revocation-checking-in-firefox/
FF 142 is van eind augustus 2025 .
historie : https://www.feistyduck.com/newsletter/issue_121_the_slow_death_of_ocsp
Ik zie daar dat Chrome het al veel eerder disabled had. (ook nogal ironisch : alle chrome-mijders-vanwege-privacy lieten dus hun domein bezoeken zien aan alle certificaat authorities met firefox )
19-01-2026, 09:25 door
dingetje
Ik zie niet in waarom dit groot nieuws is.
Zelf host ik ook een paar websites met TLS-certificaten van Lets Encrypt, en als je het persbericht er op naleest dan valt het allemaal wel mee: https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability.html
90 dagen blijft de standaard, voor 6 dagen moet je extra moeite gaan doen. En ze gaan de komende jaren van 90 dagen naar 45 dagen, ook nog geen ramp.
Ik vind het niet heel onlogisch dat DV-certificaten en die op basis van IP-adressen een kortere geldigheid hebben vanwege de veiligheid. Het is wel vervelend als auto-renewal via ACME niet lukt, dan moet je het diezelfde week nog fixen ook al heb je vakantie. Maar dat is ook niet raar voor relatief onbelangrijke webservices waar geen geld tegenover mag/kan staan.
Als de vertrouwelijkheid van je website of webservice wel belangrijk is, dan kan je beter een EV-certificaat regelen, met een lange geldigheid en auto-renewal.
Of als je een middenweg zoekt, neem je gewoon een andere aanbieder van gratis certificaten, zoals van Google, Amazon, CloudFlare, ZeroSSL.
Wat volgens mij een groter probleem is, is dat je afhankelijk blijft van een Amerikaanse dienst. Als daar de Grote Oranje Leider per decreet besluit dat je afgesloten wordt, dan moet je ineens op zoek naar wat anders. Als.
Zelf host ik ook een paar websites met TLS-certificaten van Lets Encrypt, en als je het persbericht er op naleest dan valt het allemaal wel mee: https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability.html
90 dagen blijft de standaard, voor 6 dagen moet je extra moeite gaan doen. En ze gaan de komende jaren van 90 dagen naar 45 dagen, ook nog geen ramp.
Ik vind het niet heel onlogisch dat DV-certificaten en die op basis van IP-adressen een kortere geldigheid hebben vanwege de veiligheid. Het is wel vervelend als auto-renewal via ACME niet lukt, dan moet je het diezelfde week nog fixen ook al heb je vakantie. Maar dat is ook niet raar voor relatief onbelangrijke webservices waar geen geld tegenover mag/kan staan.
Als de vertrouwelijkheid van je website of webservice wel belangrijk is, dan kan je beter een EV-certificaat regelen, met een lange geldigheid en auto-renewal.
Of als je een middenweg zoekt, neem je gewoon een andere aanbieder van gratis certificaten, zoals van Google, Amazon, CloudFlare, ZeroSSL.
Wat volgens mij een groter probleem is, is dat je afhankelijk blijft van een Amerikaanse dienst. Als daar de Grote Oranje Leider per decreet besluit dat je afgesloten wordt, dan moet je ineens op zoek naar wat anders. Als.
19-01-2026, 11:12 door
Anoniem
Geweldig! Altijd al willen hebben; certificaten met een levensduur van niks.
Hoe lang nog voordat we elke query moeten laten valdideren door een instituut die dan beslist of je een OTC (zoals een OTP) mag krijgen?
Moeten applicaties wel een verifcatie doen (net als bij OCSP trouwens).
Hoe lang nog voordat we elke query moeten laten valdideren door een instituut die dan beslist of je een OTC (zoals een OTP) mag krijgen?
Het internet werkt ook nog zonder encryptie. Het is encryptie van verkeer en het zou juist kunnen leiden tot een conversie naar een alteratieve encryptie op basis van DNSSEC.
Met DNSSEC signed TSLA records moet het gemis van OCSP mijns inzien geen groot probleem meer zijn.Moeten applicaties wel een verifcatie doen (net als bij OCSP trouwens).
20-01-2026, 16:09 door
_R0N_
Ik gebruik al een langere tijd LE met DNS challenge en een webhook om de key in DNS te zetten en te verwijderen. Dit gaat vlekkeloos dus of ze nou 3 maanden, 3 weken of 3 dagen geldig zijn, ik vind het prima.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?