SpazioRC
Sicurezza·

Certificati Let's Encrypt a 45 giorni dal 13 maggio 2026

Dal 13 maggio 2026 Let's Encrypt attiva il profilo ACME tlsserver con certificati validi 45 giorni invece di 90. Cosa cambia per il tuo rinnovo automatico, cosa controllare prima della scadenza e perché chi non ha ARI rischia di accorgersene troppo tardi.

Il 13 maggio 2026, fra cinque giorni mentre stiamo scrivendo, Let's Encrypt fa il primo passo verso un mondo di certificati TLS a vita corta. Il profilo ACME tlsserver smette di emettere certificati validi 90 giorni e passa a 45 giorni. È una tappa intermedia: la classic arriverà a 64 giorni nel febbraio 2027 e a 45 giorni nel febbraio 2028. La direzione è chiara, e arriva con due anni di anticipo rispetto al deadline che il CA/Browser Forum sta scrivendo per tutti.

Per chi gestisce un sito con HTTPS automatico la domanda è una sola: il tuo rinnovo regge un ciclo che si dimezza? Nella maggior parte dei casi sì, e in modo trasparente. Ma c'è una minoranza non piccola di setup in cui qualcosa salterà, e in cui ti accorgerai del problema solo quando il browser inizia a mostrare l'allarme rosso.

Cosa cambia il 13 maggio 2026

Let's Encrypt da oltre un anno offre tre profili ACME distinti, selezionabili dal client al momento della richiesta:

  • classic: il profilo storico, oggi a 90 giorni. È quello che usi se non hai mai cambiato nulla.
  • tlsserver: profilo più stretto, allineato alle ultime Baseline Requirements del CA/Browser Forum, pensato per chi vuole certificati più piccoli e abbraccia l'automazione completa.
  • shortlived: certificati da 160 ore, poco più di sei giorni, generalmente disponibili dal 15 gennaio 2026 insieme ai certificati per indirizzo IP (IPv4 e IPv6).

Il 13 maggio è la data in cui il profilo tlsserver passa da 90 a 45 giorni di validità. Il profilo classic resta per ora a 90 giorni: chi non ha mai messo mano al client non vede cambiamenti questa settimana. La transizione è esplicitamente opt-in per dare margine ai client ACME che non gestiscono ancora bene cicli più frequenti.

Il dettaglio importante: i rate limit non cambiano, e i rinnovi sono comunque esenti dai limiti di emissione. La frequenza di richieste verso le API di Let's Encrypt aumenta, ma non sfora le quote di nessuno.

La timeline completa fino al 2028

DataProfiloValiditàNote
15 gennaio 2026shortlived160 ore (~6 giorni)Disponibili anche certificati per IP address
13 maggio 2026tlsserver45 giorniOpt-in, primo passo della transizione
10 febbraio 2027classic64 giorniRiuso autorizzazione: 10 giorni
16 febbraio 2028classic45 giorniRiuso autorizzazione: 7 ore

Tradotto: nel 2027 chiunque sia su classic (cioè la maggior parte dei pannelli di hosting condivisi oggi) si troverà certificati a 64 giorni, e nel 2028 a 45 giorni, indipendentemente dalla volontà.

Perché Let's Encrypt sta accorciando la durata

Il motivo non è capriccio della certification authority. Le Baseline Requirements del CA/Browser Forum, che governano tutte le CA pubbliche, stanno spingendo il settore intero verso validità inferiori. Ci sono ragioni tecniche concrete:

  1. La revoca dei certificati non funziona davvero. CRL e OCSP hanno problemi di scalabilità, di privacy e di affidabilità da anni. Se una chiave privata viene compromessa, oggi il vettore di rischio resta aperto fino a 90 giorni. Con certificati a 6 giorni, scende a meno di una settimana.
  2. L'automazione è ormai matura. ACME compie 10 anni nel 2026. Non c'è più nessuna ragione tecnica per emettere certificati lunghi: se un sistema regge un rinnovo all'anno, regge anche 8 rinnovi all'anno.
  3. Riduzione delle dipendenze. Catene di certificati più brevi e profili più stretti accelerano l'handshake TLS e riducono la superficie di errore.

Per gli amministratori la conseguenza è una sola: l'automazione del rinnovo deve funzionare davvero. Non "in teoria". Non "l'ultima volta abbiamo dovuto rifarlo a mano". Davvero.

Cosa controllare nel tuo rinnovo automatico

Prima del 13 maggio, prenditi 30 minuti per verificare che la tua catena di rinnovo non abbia debiti tecnici nascosti. Una checklist pratica.

1. Il client ACME supporta ARI?

ARI (Automated Renewal Information) è un'estensione di ACME che permette al server di suggerire al client quando rinnovare. Quando un certificato sta per essere accorciato lato CA o quando deve essere revocato, ARI lo dice al client che adatta il proprio scheduling automaticamente. Senza ARI il client continua a usare la sua finestra fissa (tipicamente "rinnova quando mancano 30 giorni alla scadenza") e su un certificato a 45 giorni questo si traduce in rinnovi a metà ciclo, che non è la fine del mondo ma non è ottimale.

Client che supportano ARI oggi: Certbot dalla 2.7, acme.sh dalla 3.0, Caddy dalla 2.7, Traefik dalla 3.0, lego dalla 4.14. Se sei su versioni più vecchie, è il momento di aggiornare.

2. I cron e i timer sono attivi?

Su una macchina Linux con Certbot, controlla:

systemctl list-timers | grep certbot

Se vedi certbot.timer attivo e con un next nel futuro, ok. Se non vedi nulla, qualcuno ha disabilitato il timer durante una sessione di troubleshooting e non l'ha mai riattivato. Su acme.sh:

crontab -l | grep acme.sh

3. Gli hook post-renew funzionano?

Il rinnovo emette il certificato, ma se il tuo nginx/Apache/Caddy non viene ricaricato, il browser continua a vedere il certificato vecchio fino al riavvio successivo. Verifica che lo script in /etc/letsencrypt/renewal-hooks/deploy/ (o equivalente) sia presente, eseguibile, e contenga un systemctl reload esplicito. Test:

certbot renew --dry-run --deploy-hook "echo HOOK_OK"

4. Il monitoring vede i certificati?

Se ti accorgi che un certificato è scaduto perché un cliente ti scrive su WhatsApp, il monitoring non c'è. Imposta un check su scadenza certificato (Uptime Kuma, Healthchecks, Datadog SSL check, blackbox exporter Prometheus) con allarme a 15 giorni. Su un ciclo da 45 giorni è il punto giusto: hai due settimane utili per intervenire.

5. Lo staging endpoint regge?

Prima del 13 maggio, fai un rinnovo di test contro lo staging di Let's Encrypt selezionando esplicitamente il profilo tlsserver. È l'unico modo per scoprire ora se il tuo client ha qualche problema con il profilo nuovo.

certbot certonly --server https://acme-staging-v02.api.letsencrypt.org/directory \
  --preferred-profile tlsserver -d test.example.com --dry-run

cPanel, Plesk e shared hosting: stai tranquillo (quasi sempre)

Se il tuo sito gira su un hosting condiviso e il certificato è gestito da AutoSSL in cPanel o dal modulo Let's Encrypt di Plesk, il rinnovo è in mano al provider. AutoSSL controlla i certificati ogni 24 ore e rinnova quelli che mancano meno di 27 giorni alla scadenza: con certificati da 45 giorni continuerà a funzionare, ma rinnoverà più spesso (ogni ~18 giorni invece di ogni ~63). Plesk ha logica analoga.

L'unica cosa che dovresti chiedere al tuo provider, se hai dubbi, è: "il vostro AutoSSL ha ARI attivo?". Le versioni recenti di cPanel (116+) lo supportano, le vecchie no. Se il provider non sa rispondere, è un segnale.

Il piano hosting condiviso di SpazioRC gira su cPanel aggiornato e gestisce questa transizione lato infrastruttura: il sito non vede differenze. Se invece hai un VPS o una server dedicato e ti gestisci tu i certificati, l'onere dei controlli sopra è tuo.

I certificati a 6 giorni e quelli per IP: il mondo che arriva

La storia del 13 maggio non sarebbe così interessante se fosse solo "certificati più corti". Quello che si sta materializzando è un'infrastruttura TLS in cui i certificati hanno la stessa vita di una sessione di lavoro:

  • shortlived da 160 ore (~6 giorni e mezzo): pensati per CDN, edge, container effimeri, microservizi che girano qualche giorno e poi spariscono.
  • Certificati per IP address (IPv4 e IPv6): sblocca casi d'uso come API interne raggiungibili solo per IP, dashboard di monitoraggio su rete privata, servizi SaaS che vendono accesso via IP.

Per un sito web ordinario non cambia nulla, ma per chi sta architettando infrastruttura cloud-native questi due GA del gennaio 2026 sono un cambio di paradigma. La condizione, scontata ma da ricordare, è che funziona solo con automazione completa: nessuno rinnova un certificato a mano ogni 6 giorni.

Cosa fare entro il 13 maggio

Riassumendo:

  1. Controlla la versione del tuo client ACME e aggiorna se non supporta ARI.
  2. Verifica che cron/timer e deploy hook siano attivi e funzionanti.
  3. Imposta un alert sulle scadenze a 15 giorni invece dei classici 30.
  4. Se sei su shared hosting con AutoSSL/Plesk gestito, non c'è niente da fare lato tuo.
  5. Se vuoi anticipare la migrazione, fai un dry run contro lo staging selezionando il profilo tlsserver.

Il 13 maggio non è un cliff: è solo la prima fermata di un percorso lungo due anni. Ma chi lo prende come occasione per sistemare ora il proprio rinnovo automatico arriva al 2028 senza sorprese. Chi lo ignora, prima o poi, scopre nel modo peggiore che cosa vuol dire avere un certificato scaduto in produzione.

Per approfondire la pagina ufficiale di Let's Encrypt sui profili ACME è il punto di partenza, e la discussione sulla community raccoglie le segnalazioni di chi sta testando il profilo tlsserver in queste settimane.

Zero-day cPanel: la lezione dei due mesi di silenzio

Il 28 aprile cPanel ha pubblicato la patch per CVE-2026-41940, ma lo zero-day circolava da febbraio. Due mesi di vantaggio agli attaccanti, e una lezione precisa su come si sceglie un hosting.

Registra il tuo dominio e paga in Bitcoin

SpazioRC da oggi accetta i Bitcoin e altre criptovalute! Cos’è il Bitcoin? Bitcoin (simbolo: ₿; codice: BTC o XBT) è una moneta elettronica creata nel 2009 da un anonimo inventore, noto con lo pseudonimo di Satoshi Nakamoto, che sviluppò un’idea da lui stesso presentata su Internet a fine 2008.