公益证书机构Let’s Encrypt宣布上线全新的“Generation Y”证书架构。该架构由两张新的根证书和六张新的中级证书组成,并通过现有的Generation X根证书X1与X2交叉签名,以确保在现有信任环境中能够顺利使用。
同时,Let’s Encrypt将逐步缩短证书生命周期。自2026年起,用户可选择45天有效期的证书进行测试。到2027年,默认证书有效期将降至64天;2028年则进一步缩短至45天,短周期证书将成为常态。缩短周期的目的在于减少攻击窗口,加快算法更新,并降低错误签发的长期影响。
在功能调整方面,TLS客户端认证将于2026年2月起终止,2026年5月13日起,默认ACME配置将切换至基于Generation Y的新体系,不再包含客户端认证功能。对于需要过渡的用户,官方提供了tlsclient配置,可继续沿用现有的Generation X根证书至2026年5月。
Let’s Encrypt表示,使用tlsserver和短周期配置的用户将从本周起陆续收到基于Generation Y签发的证书。新体系还支持在证书中直接包含IP地址,为部分应用场景提供更灵活的部署方式。未来几年,依赖该机构的站点运营方和服务提供商需要适配更频繁的自动续期流程,以在提升安全性的同时保持服务稳定。