Let’s Encrypt宣布将在未来几年逐步缩短公开信任TLS证书的有效期,从目前的90天降至45天,计划在2028年完成。这一变化源于CA/Browser Forum制定的基线要求,旨在提升互联网整体安全性,减少密钥泄露带来的风险,并提高吊销机制的效率。
除了证书有效期,域名控制验证结果的复用时长也将显著缩短。目前该时长为30天,未来将收紧至7小时。这意味着域名控制需要更频繁地重新验证,以降低长期授权被滥用的可能性。
官方时间表显示,2026年5月起,tlsserver配置档将率先改为45天证书;2027年2月,classic配置档将调整为64天证书,并将授权复用期缩短至10天;到2028年2月,classic配置档将进一步缩短至45天证书和7小时复用期。这些调整仅影响新签发的证书,用户在自动续期过程中会逐步感受到变化。
对于依赖自动化续期的用户,官方认为无需进行重大修改,但建议检查现有流程是否适应更短的周期。Let’s Encrypt推荐使用ACME Renewal Information(ARI)机制,以便客户端获知合适的续期时机。如果客户端暂不支持ARI,应确保续期调度频率足够高,例如避免固定60天续期,而是在证书生命周期的三分之二处触发续期任务。手工续期则被明确不推荐,因为随着周期缩短,人工操作更容易出错。
运维团队需要建立完善的监控与告警机制,以便在证书未按预期续期时及时提醒,避免服务中断或安全风险。Let’s Encrypt在其网站上列出了多种第三方和自建监控方案,供用户选择。
为降低频繁验证带来的负担,Let’s Encrypt正推动新的验证机制。现有的HTTP-01、TLS-ALPN-01与DNS-01挑战通常要求客户端具备实时操作权限,这在安全隔离和权限最小化方面存在挑战。新的DNS-PERSIST-01标准正在推进,其核心优势在于DNS TXT记录无需频繁更改,用户可一次性设置后长期使用。这将减少对授权复用期的依赖,并降低自动化部署的难度。该机制预计将在2026年面向用户提供。
Let’s Encrypt建议用户订阅技术更新邮件列表,以便及时获知相关变更。用户也可通过官方社区论坛交流问题,并在ISRG年度报告中了解更广泛的互联网安全与隐私项目进展。