CA/Browser Forum (SSL certificate standards set करने वाली industry body) ने April 2025 में maximum certificate validity को 398 days से March 2029 तक 47 days तक gradually reduce करने के लिए vote किया। यह सभी Certificate Authorities को affect करता है — paid और free दोनों।
Timeline
| Effective date | Max validity | Max DCV reuse | Impact |
|---|---|---|---|
| March 2026 से पहले | 398 days (13 months) | 398 days | Current state |
| 15 March 2026 | 200 days | 200 days | Paid CAs को shorter certificates issue करने होंगे |
| 15 March 2027 | 100 days | 100 days | Let’s Encrypt के 90-day model के close |
| 15 March 2029 | 47 days | 10 days | सभी certificates को frequent renewal जरूरी |
DCV reuse = domain validation results कितने time तक reuse किए जा सकते हैं। 2029 तक, domain control हर 10 days में re-verify होना चाहिए, भले ही certificate 47 days valid हो।
यह क्यों हो रहा है
Short-lived certificates ज्यादा secure हैं:
- Exposure window reduce — अगर कोई key compromise होती है, damage remaining validity period तक limited है
- Faster revocation — Revocation mechanisms (CRL, OCSP) unreliable हैं; shorter validity उन्हें कम important बनाती है
- Mandatory automation — 47 days पर manual renewal scale नहीं होता, industry को automated certificate management की तरफ push करता है
- Fresh validation — Frequent domain control verification stale DNS, sold domains, या changed ownership जल्दी catch करता है
Apple ने यह change propose किया, और चारों major browser vendors (Apple, Google, Mozilla, Microsoft) ने favor में vote किया।
आपके लिए इसका क्या मतलब है
अगर आप Let’s Encrypt (90-day certificates) use करते हैं
Immediately ज्यादा कुछ नहीं बदलता। आप पहले से हर 60-90 days में renew करते हैं। 2029 तक, आपकी renewal frequency हर 60 days से ~30 days तक tight हो जाएगी।
Required action: Ensure करें कि आपके पास reliable renewal automation (Certbot cron, acme.sh cron) या reliable manual process (GetHTTPS calendar reminders के साथ) है।
अगर आप paid certificates (1-year certificates) use करते हैं
यह बड़ा change है। March 2026 तक, आपकी max validity 200 days तक drop होती है। 2029 तक, यह 47 days — Let’s Encrypt के model जैसा।
Required action: Automation plan करना शुरू करें। Paid certificates का cost advantage (long validity = कम renewals) खत्म हो रहा है। बहुत से organizations automated renewal के साथ free Let’s Encrypt certificates पर switch करेंगे।
अगर आप multiple certificates manage करते हैं
Hundreds of domains पर 47-day validity मतलब per year thousands of renewals। Manual management impossible हो जाता है।
Required action: ACME-based automation (Certbot, acme.sh, या certificate management platforms) implement करें।
“Set and forget” का अंत
सबसे बड़ा practical impact: आप अब 1-year certificate buy करके भूल नहीं सकते। 2029 तक, हर website को या तो automated renewal pipeline या हर month manually renew करने वाला किसी की जरूरत है।
यह free और paid CAs के बीच playing field level करता है — जब सभी हर 47 days में renew करते हैं, तो paid certificates का long-validity advantage completely disappear हो जाता है।
DCV reuse में changes (often overlooked)
Same CA/B Forum ballot ने Domain Control Validation (DCV) reuse period भी reduce की:
| Date | Max DCV reuse |
|---|---|
| Current | 398 days |
| March 2026 | 200 days |
| March 2027 | 100 days |
| March 2029 | 10 days |
DCV reuse = CA previous domain validation result कितने time तक reuse कर सकता है। 2029 तक, CA को हर 10 days में आपके domain control re-verify करना होगा — भले ही certificate 47 days valid हो। इसका मतलब validation one-time event नहीं हो सकता; इसे fully automated होना चाहिए।
ACME clients (GetHTTPS, Certbot, acme.sh) के लिए, यह seamless है — हर renewal में fresh challenge included होता है। Commercial CAs के साथ manual workflows के लिए, यह significant operational overhead add करता है।
अभी कैसे prepare करें
अगर आप पहले से Let’s Encrypt + Certbot/acme.sh use करते हैं
आप पहले से automated renewal के साथ 90-day certificates पर हैं। कोई action required नहीं। जब validity 47 days तक drop होती है, आपका cron job handle करता है — यह पहले से दिन में दो बार check करता है।
अगर आप GetHTTPS (manual renewal) use करते हैं
Currently आप हर ~60 days में renew करते हैं। 47-day certificates के साथ, यह हर ~30 days हो जाता है। Options:
- Manual continue करें — हर 30 days के लिए reminder set करें। 1-3 domains के लिए doable।
- Hybrid approach — First certificate के लिए GetHTTPS use करें, फिर auto-renewal के लिए Certbot install करें।
- Wait करें — 47-day limit March 2029 है। आपके पास time है।
अगर आप paid 1-year certificates use करते हैं
अभी plan करना शुरू करें:
- Let’s Encrypt evaluate करें — 2029 तक, paid और free certificates की renewal frequency same होगी। Is premium worth it?
- ACME automation implement करें — Commercial CAs भी ACME support करते हैं (DigiCert, Sectigo)
- Automation tools के लिए budget बनाएँ — Certificate lifecycle management platforms अगर 100+ certificates manage करते हैं
किसने vote किया?
Ballot (SC-081) को चारों major browser vendors ने support किया:
- Apple — Change propose किया
- Google — Favor में vote
- Mozilla — Favor में vote
- Microsoft — Favor में vote
CA opposition mixed था, लेकिन browser vendors के पास veto power है। Change हो रहा है।
FAQ
क्या Let’s Encrypt अपनी 90-day validity बदलेगा?
Let’s Encrypt new rules effective होने पर 47 days तक reduce कर सकता है, या 90 days रख सकता है अगर वो अभी भी max के within है। किसी भी तरह, renewal process unchanged है — और ज्यादातर users पहले से day 60 पर renew करते हैं।
क्या existing certificates affect होंगे?
नहीं। पहले से issued certificates अपनी stated expiry date तक valid रहते हैं। New rules effective dates के बाद issued certificates पर apply होते हैं।
क्या अभी Let’s Encrypt पर switch करना चाहिए?
अगर आप 1-year certificates के लिए pay कर रहे हैं, तो cost/benefit ratio rapidly बदल रहा है। Let’s Encrypt का 90-day model पहले से 47-day future के close है, और ecosystem (Certbot, acme.sh, GetHTTPS) mature है। अभी switch करने का मतलब change आने पर आप ready हैं।
क्या पुराने devices या browsers break होंगे?
नहीं। Change max validity के बारे में है, certificate format या TLS version के बारे में नहीं। Old devices जो current certificates के साथ काम करते हैं, shorter-lived certificates के साथ भी काम करेंगे। Device को पता नहीं और care नहीं कि certificate कितने time valid है — बस expiry date check करता है।
Internal/private certificates के बारे में?
यह change सिर्फ publicly trusted certificates (browser trust stores में present) पर apply होता है। Corporate networks के लिए certificates issue करने वाले internal CAs CA/B Forum rules से bound नहीं हैं।