12月2日,全球广泛使用的免费证书颁发机构Let’s Encrypt宣布,将在未来数年内逐步缩短其TLS证书的有效期,目标在2028年将目前90天的有效期减半至45天。此举旨在响应CA/Browser Forum的行业安全规范,推动更严格的证书生命周期管理,并减少证书泄露或被盗可能造成的安全影响。
分阶段实施计划
为确保平稳过渡,Let’s Encrypt制定了为期三年的分阶段调整路径:
- 2026年5月13日:启用 tlsserver 配置,支持用户提前选择签发45天有效期的证书。
- 2027年2月10日:将默认 classic 配置的有效期调整为64天,并将域名授权(Authorization)的重用期从30天缩短至10天。
- 2028年2月16日:全面实施45天有效期,并将授权重用期进一步缩短至7小时,显著提升安全强度。
自动化续期与新验证机制
对于大多数已实现自动化证书管理的用户,系统将自动适应新周期,无需手动干预。Let’s Encrypt强烈建议用户启用 ACME 续期信息(ARI)扩展,以帮助客户端更智能地判断最佳续期时机。
为解决频繁续期带来的验证负担,Let’s Encrypt同步宣布正在开发 DNS-PERSIST-01 持久验证方案。该方案允许用户在DNS中一次性设置TXT记录,后续证书续期时可重复使用同一记录,无需反复修改DNS配置,显著降低自动化运维的复杂性和故障风险。该功能预计于2026年正式推出。
行业影响与建议
这一调整进一步推动了“短有效期、高自动化”的证书管理模式,旨在提升网络身份验证的整体安全基线。Let’s Encrypt建议所有用户:
- 确认现有ACME客户端是否支持ARI,并尽早启用该功能;
- 检查自动化续期流程,确保能在证书过期前稳定完成续期;
- 关注DNS-PERSIST-01等新验证方式的进展,以简化未来的证书运维工作。
本次调整体现了证书颁发机构在便捷性与安全性之间的持续平衡,也预示着更短证书生命周期将成为行业标准趋势。
