Hacker News 中文摘要

RSS订阅

Let's Encrypt证书即将更新 -- Upcoming Changes to Let's Encrypt Certificates

原文链接 | HN讨论 | 2025-12-16 06:17:56

文章摘要

Let’s Encrypt将推出证书更新,包括新增根证书、弃用TLS客户端认证及缩短证书有效期。通过ACME配置实现渐进式更新,多数用户无需操作。新增"Y代"根证书和中间证书,与现有"X代"交叉认证保持兼容。默认配置将于2026年5月13日切换至新证书体系,新证书不再支持TLS客户端认证功能。

文章总结

标题:Let's Encrypt证书即将迎来多项更新——API公告

来源:Let's Encrypt社区支持论坛

发布时间:2025年12月15日

主要内容: 1. 证书体系更新: - 将推出名为"Generation Y"的新根证书体系,包含2个新根CA和6个新中间CA - 新体系仍通过现有"Generation X"根证书交叉签名,确保兼容性 - 默认的"classic"配置将在2026年5月13日切换至新体系

  1. 重要变更:
  • 新中间证书将不再支持"TLS客户端认证"功能
  • 计划于2026年2月开始逐步取消TLS客户端认证支持
  • 需要该功能的用户可使用"tlsclient"配置延长过渡期至2026年5月
  1. 证书有效期调整:
  • 2026年:通过"tlsserver"配置提供45天有效期证书(可选)
  • 2027年:默认有效期缩短至64天
  • 2028年:进一步缩短至45天
  1. 其他更新:
  • "tlsserver"和"shortlived"配置用户本周起将获得新体系证书
  • 将支持包含IP地址的短期证书

对于大多数用户无需采取行动,但建议查看相关博客文章了解详细时间表。如有疑问可在论坛提出。

(注:原文中的用户头像链接、具体URL等非核心信息已省略,保留了主要技术细节和时间节点)

评论总结

总结评论内容:

  1. 关于证书有效期缩短的担忧
  • 主要观点:45天有效期政策可能导致Let's Encrypt成为互联网单点故障
  • 关键引用: "These short certificate lifetimes make Let's Encrypt a central point of failure for much of the Internet" (评论1) "this will make LE the only viable option to modernize, and thus much more of a central point of failure than before" (评论3)
  1. 政策来源说明
  • 主要观点:有效期缩短是CA/Browser Forum的决定,非Let's Encrypt单独行为
  • 关键引用: "This isn't LE's decision: a 47 day max was voted on by the CA/Browser Forum" (评论3) "public votes of all members, which were unanimously Yes or Abstain" (评论3)
  1. 对传统网站的影响
  • 主要观点:可能迫使老旧网站关闭,增加运维负担
  • 关键引用: "many archived/legacy sites...may not be able to afford the upfront tech or ongoing labor" (评论3) "after some failures...I switched to free 15 year Cloudflare certs" (评论12)
  1. 技术替代方案讨论
  • 主要观点:建议重新思考PKI体系,提出实时验证等新方案
  • 关键引用: "time to rethink the way PKI works...more of a real-time trust facilitators" (评论13) "cert expiry should be tied to the DNS TTL" (评论13)
  1. 其他相关讨论
  • 客户端证书问题:"Google forcing this change just means more overhead" (评论5)
  • 命名规则疑问:"Does anyone know the origin or rationale for this?" (评论7)
  • 政策过度问题:"unnecessary policy ratcheting...no one can really justify it" (评论8)
  1. 对Let's Encrypt的批评
  • 主要观点:认为其沟通方式不够透明
  • 关键引用: "Just say 'we're reducing certificate lifetimes to comply...'" (评论9) "the cowardly 'replace lower with change'" (评论9)
  1. 极端建议
  • 主要观点:讽刺性建议更短有效期
  • 关键引用: "Why not 60 seconds? That's way more secure" (评论10) "issue a new certificate per request" (评论10)