Let's Encrypt ประกาศออกใบรับรอง intermediate certificate ใหม่ทั้งหมดสิบใบ สำหรับสายกุญแจแบบ RSA-2048 จำนวน 5 ใบและ ECDSA อีก 5 โดยมีเป้าหมายจะใช้ใบรับรองเหล่านี้ในช่วงเวลาที่สั้นลง แถมยังมีระบบสุ่มใบรับรอง intermediate เพื่อบีบให้แอปต่างๆ เลิกทำ key pinning
key pinning หรือ HTTP Public Key Pinning (HPKP) เป็นเทคนิคการล็อกใบรับรองที่ตัวแอป เช่น เบราว์เซอร์ว่าให้เชื่อถือใบรับรองที่กำหนด หรือได้รับการรับรองจากใบรับรองอื่นที่กำหนดไว้ล่วงหน้าเท่านั้น และแอปจะไม่ยอมรับใบรับรองจากผู้ออกใบรับรองอื่นแม้จะมีการออกอย่างถูกต้องก็ตาม เทคนิคนี้ทำให้กูเกิลตรวจพบการออกใบรับรองของ DigiNotar ที่ถูกแฮกเมื่อปี 2011 เพราะ Chrome ในตอนนั้นล็อกใบรับรองของโดเมนกูเกิลเอาไว้ แต่ทุกวันนี้ระบบการออกใบรับรองรับนั้นมีระบบ certification tranparency (CT) ที่ตรวจสอบการออกใบรับรองผิดพลาดได้ง่ายกว่า เช่น ทุกคนสามารถดูได้ว่าใบรับรองของโดเมน www.blognone.com ที่เคยออกมานั้นมีใบรับรองใดบ้าง แถมลดความผิดพลาดเมื่อเจ้าของโดเมนเองพยายามเปลี่ยนบริษัทผู้ออกใบรับรองแต่แอปกลับล็อกเอาไว้ ทำให้แอปใช้งานไม่ได้ กูเกิลเองเลิกใช้งานการทำ key pinning ตั้งแต่ปี 2018 แต่ก็ยังมีบริษัทจำนวนหนึ่งใช้งานอยู่
แนวทางใหม่ของ Let's Encrypt จะใช้ intermediate certificate สองใบสำหรับแต่ละสาย สุ่มสลับกันไปมา ทำให้คาดเดาไม่ได้ว่าจะได้ใบรับรองจากสายไหน และรอบการเปลี่ยน intermediate certificate ก็จะลดลงจาก 5 ปีเหลือ 1 ปีเท่านั้น โดนตอนนี้ Let's Encrypt ออกบรับรองสำหรับปีหน้าเตรียมไว้แล้ว
intermediate certificate ใหม่จะเริ่มถูกใช้ออกใบรับรองจริงในช่วงไม่กี่เดือนข้างหน้า แต่ยังไม่มีกำหนดวันชัดเจน
ที่มา - Let's Encrypt