Kurz notiert: Let's Encrypt hat Anfang des Monats am 4. Juni 2025 den Dienst für die E-Mail-Benachrichtigungen abgeschaltet. Zertifikatsinhaber werden fortan nicht mehr per E-Mail auf ein Auslaufen der Zertifikate hingewiesen. Diese Änderung wurde bereits im Januar angekündigt.

Begründet wird die Entscheidung durch die Kosten für den E-Mail-Versand, die Speicherung der E-Mail-Adressen sowie die Komplexität der Infrastruktur. In der Tat ist der Versand der Benachrichtigungen in einer Größenordnung wie bei Let's Encrypt sehr kostenintensiv, zumal dies über externe Dienstleister abgewickelt werden muss.

Die Speicherung der E-Mail-Adressen ist ein interessanter Punkt, weil insbesondere bei certbot die Adressen standardmäßig immer abgefragt wurden, während man die Angabe bei acme.sh schon länger vermeiden konnte. Dies soll, so mein Verständnis, nun der Standard werden, da Let's Encrypt nicht mehr die E-Mail-Adressen der Zertifikatsinhaber speichern möchte. Für andere Zwecke wurden die E-Mail-Adressen offenbar auch nicht gespeichert, da z. B. das Zurückziehen eines Zertifikates (Revocation) über andere Wege wie den Private Key oder DNS-Verifikation läuft, wie in der Dokumentation beschrieben wird.

Bleibt noch ein letzter Punkt, der im Blogartikel zur Abschaltung angeführt wird: Ein integraler Bestandteil von Let's Encrypt ist Automatisierung. Schon von Anfang an wurden automatisierte Verfahren wie ACME statt einer manuellen Verifikation eingesetzt, sodass auch die Erneuerung (Renew) automatisiert vorgenommen werden konnte und eine Benachrichtigung eigentlich überflüssig ist. Wer das noch nicht verstanden hat, soll es jetzt wohl auf die harte Tour lernen. Der Dienst unterstützt die Benachrichtigungen seit seinem Start im Jahr 2015, als diese Form der Automatisierung noch völlig neu war und sich alle daran gewöhnen mussten.

Let's Encrypt möchte die Ressourcen verwenden, um sich neuen Vorhaben zu widmen. Dazu gehören sicherlich zum Beispiel die 6-Tages-Zertifikate oder CRLs, wie wir auch schon in der Risikozone-Episode 64 Anfang des Jahres besprochen haben.

Bereits im Juli hatte das Let’s Encrypt-Projekt angekündigt, das Online Certificate Status Protocol (OCSP) nicht mehr einsetzen zu wollen.

Bereits im Juli hatte das Let’s Encrypt-Projekt angekündigt, das Online Certificate Status Protocol (OCSP) nicht mehr einsetzen zu wollen.