Rất nhiều câu hỏi đặt ra tại sao Let’s Encrypt chỉ cung cấp chứng chỉ với thời hạn 90 ngày. Những người hỏi điều này thường lo ngại rằng 90 ngày là quá ngắn và muốn Let’s Encrypt cung cấp chứng chỉ có thời hạn một năm hoặc lâu hơn, giống như một số CA khác.
90 ngày không phải là điều mới trên Internet. Theo số liệu từ Firefox Telemetry, 29% các giao dịch TLS sử dụng chứng chỉ có thời hạn 90 ngày. Đó là tỷ lệ cao hơn bất kỳ thời hạn nào khác. Từ góc độ của Let’s Encrypt, có hai lợi ích chính khi sử dụng thời hạn chứng chỉ ngắn như vậy:
- Hạn chế thiệt hại do việc khóa bị xâm phạm và chứng chỉ bị cấp sai. Các khóa bị đánh cắp và chứng chỉ bị cấp sai chỉ có giá trị trong một khoảng thời gian ngắn hơn.
- Khuyến khích tự động hóa, điều này là cực kỳ quan trọng để dễ sử dụng. Nếu chúng ta muốn chuyển toàn bộ Internet sang HTTPS, chúng ta không thể tiếp tục kỳ vọng các quản trị hệ thống xử lý gia hạn một cách thủ công. Khi việc cấp phát và gia hạn được tự động hóa, thời hạn ngắn sẽ không kém tiện lợi hơn các thời hạn dài hơn.
Vì những lý do này, Let’s Encrypt không cung cấp chứng chỉ với thời hạn dài hơn 90 ngày. Let’s Encrypt họ nhận ra rằng dịch vụ của Let’s Encrypt còn mới và tự động hóa còn mới với nhiều người dùng, vì vậy Let’s Encrypt đã chọn thời hạn cho phép thời gian đủ để gia hạn thủ công nếu cần. Let’s Encrypt khuyên người dùng nên gia hạn mỗi 60 ngày. Khi các công cụ gia hạn tự động được triển khai rộng rãi và hoạt động tốt, Let’s Encrypt có thể xem xét thời hạn ngắn hơn nữa.