文章摘要
Let's Encrypt将于2028年前将证书有效期从90天缩短至45天,以符合行业安全标准,提升互联网安全性。同时,域名授权重用期将从30天减至7小时。这些变更将分阶段实施,用户可通过ACME配置文件控制调整时间,减少影响。
文章总结
标题:Let's Encrypt将证书有效期缩短至45天
主要内容:
- 证书有效期调整
- 目前颁发的证书有效期为90天,到2028年将缩短至45天
- 此项变更是遵循CA/Browser Forum Baseline Requirements的要求
- 所有公共可信证书颁发机构都将进行类似调整
- 缩短有效期有助于提升互联网安全性,限制潜在危害范围并提高证书撤销效率
- 授权重用期调整
- 当前授权重用期为30天,到2028年将缩短至7小时
- 授权重用期指验证域名控制权后可颁发证书的时间长度
- 变更时间表
- 2026年5月13日:tlsserver ACME配置文件将率先改为签发45天有效期证书(可选)
- 2027年2月10日:默认classic配置文件改为签发64天证书(授权重用期10天)
- 2028年2月16日:classic配置文件最终调整为45天证书(授权重用期7小时)
- 用户应对建议
- 建议使用ACME Renewal Information(ARI)功能
- 检查自动化系统是否兼容更短有效期
- 确保证书监控系统到位
- 不建议手动续期证书
- 新的DNS验证方法
- 正在开发DNS-PERSIST-01验证标准
- 允许一次性设置DNS记录后自动续期
- 预计2026年可用
- 获取最新信息
- 建议订阅技术更新邮件列表
- 可通过社区论坛提问
- 可查阅最新发布的年度报告
注:本文保留了所有关键时间节点和技术细节,删减了部分重复性说明和外部链接的具体描述,使内容更加紧凑易读。
评论总结
以下是评论内容的总结:
支持缩短证书有效期
提高安全性与自动化
- Let's Encrypt通过自动化API显著改善了WebPKI现状,短有效期证书与自动化流程配合良好。
- 引用:"it's hard to understate...the 'this is just something you only do via an automated API' approach is absolutely the right one" (评论1)
- 引用:"短有效期迫使设置自动化,现在操作变得简单" (评论12)
行业规范要求
- 缩短有效期是CA/Browser Forum的技术要求,行业普遍遵循。
- 引用:"This change is being made along with the rest of industry, as required by the CA/Browser Forum" (评论2)
- 引用:提供了CA/Browser Forum相关要求的链接 (评论6)
反对或担忧缩短有效期
运维负担增加
- 短有效期可能导致证书更新失败时修复时间不足,增加运维压力。
- 引用:"有时证书更新会出问题,缩短有效期减少了修复时间" (评论5)
- 引用:"IoT设备大规模管理证书时,短有效期和DNS验证效率低是噩梦" (评论11)
兼容性与企业限制
- 部分企业软件和IT部门尚未支持自动化API,短有效期会加剧问题。
- 引用:"企业软件仍无法适应自动化,甚至错误使用旧证书" (评论1)
- 引用:"B2B集成中合作伙伴需手动更新证书,窗口缩短至45天更麻烦" (评论16)
极端情况的讽刺
- 讽刺未来证书有效期可能缩短至毫秒级,自动化仍无法满足要求。
- 引用:"2055年证书有效期或为皮秒,权威机构仍不满意自动化" (评论4)
- 引用:"45天太长?几毫秒就够了 /s" (评论15)
其他观点
替代方案需求
- 部分用户开始考虑付费证书提供商。
- 引用:"不贬低Let's Encrypt,但开放付费证书建议" (评论7)
技术改进期待
- 期待DNS-PERSIST-01等新技术简化验证流程。
- 引用:"DNS-PERSIST-01将允许DNS条目无需每次更新,预计2026年推出" (评论3)
工具与建议
- 提供免费工具帮助监控证书过期情况。
- 引用:"服务可每日检查证书并邮件通知即将过期的" (评论18)
关键争议点
- 平衡安全与便利:支持者认为短有效期推动自动化提升安全,反对者认为其增加运维负担且忽视现实限制。
- 行业规范 vs. 实际需求:虽然符合行业要求,但部分场景(如IoT、B2B)仍需更灵活方案。