Let’s Encrypt 将在未来几年缩短证书的有效期,从目前的 90 天缩短到 2028 年的 45 天。这一变化符合新的CA/浏览器论坛基线要求,该要求适用于所有受公众信任的证书颁发机构。
缩短证书有效期旨在限制密钥泄露的影响,并提高吊销机制的有效性。与此同时,授权重用期(即先前已验证的域控制可以再次使用的时间窗口)将从 30 天缩短至仅 7 小时。
过渡将分几个阶段进行,以便用户有时间适应。2026 年 5 月 13 日,可选的tlsserver ACME 配置文件将开始为早期采用者和测试用户颁发 45 天的证书。2027 年 2 月 10 日,默认的经典配置文件将切换到 64 天的证书和 10 天的授权重用期。
最后一步将于 2028 年 2 月 16 日到来,届时经典配置文件将采用 45 天有效期、7 小时重复使用期限的证书。这些变更仅影响新证书,因此用户在每个里程碑之后下次续订时会发现有效期缩短。
大多数依赖自动签发的用户无需进行重大调整,但验证现有自动化流程能否处理较短的有效期至关重要。Let’s Encrypt 建议使用 ACME 续期信息,该信息可为客户提供续期指导。
对于尚不支持 ARI 的系统,证书续期应在配置的有效期大约三分之二处进行,而不是固定的 60 天间隔。不建议手动续期,因为缩短有效期需要更频繁的操作。Let’s Encrypt 还建议确保部署监控机制,以便及时发现续期失败的情况。
最后,还有一件重要的事情。Let’s Encrypt 正在与行业合作伙伴共同开发一种名为 DNS-PERSIST-01 的新型验证码。与现有方法不同,它将使用静态 DNS TXT 记录,无需在每次续期时更新。这种方法消除了 ACME 客户端直接访问 DNS 系统的要求,从而实现了更广泛、更简便的自动化。这种新型验证码预计将于 2026 年推出。
更多信息请参阅官方公告。
