免费的SSL供应商Let's Encrypt宣布,将缩短其颁发的证书的有效期,目前其颁发的有效期为 90 天,到2028年将缩短一半至45天。
此次变更与业内其他机构同步进行,符合CA/浏览器论坛基线要求,该要求规定了所有SSL提供商必须遵守的技术规范。所有受公众信任的证书颁发机构,例如Let's Encrypt,都将做出类似的变更。缩短证书有效期有助于提高互联网安全性,因为它能限制安全漏洞的扩散范围,并提高证书吊销技术的效率。
Let's Encrypt还在缩短授权重用期限,即在验证域名控制权后,允许为该域名颁发证书的时间长度。目前为30天,到2028年将缩短至7小时。
变更时间线
为了最大程度地减少对用户的影响,Let's Encrypt将分阶段推出此项变更。Let's Encrypt将使用 ACME Profiles,让用户可以控制这些变更何时生效。这些配置在用户的 ACME 客户端中。
变更将在下方所示生产日期前约一个月部署到Let's Encrypt的测试环境。
- 2026年5月13日: Let's Encrypt 将把tlsserver ACME 配置文件切换为颁发 45 天有效期的证书。此配置文件为可选配置,可供早期用户和测试人员使用。
- 2027年2月10日: Let's Encrypt 将把默认的经典ACME 配置文件切换为颁发有效期为 64 天、授权重用期为 10 天的证书。这将影响所有未选择 tlsserver或短期( 6 天)配置文件的用户。
- 2028 年 2 月 16 日:我们将进一步更新经典配置文件,以颁发有效期为 45 天、授权重用期为 7 小时的证书。
这些日期是新证书生效的日期,因此 Let's Encrypt 用户在这些日期之后的下次续订时将会看到证书有效期缩短。
用户需要采取的行动
大多数使用Let's Encrypt自动颁发证书的用户无需进行任何更改。但是,用户应该验证用户的自动化流程是否与有效期较短的证书兼容。
为确保用户的ACME客户端按时续期,Let's Encrypt建议用户使用ACME 续期信息 (ARI)。ARI是Let's Encrypt推出的一项功能,旨在帮助客户了解何时需要续期证书。
如果用户的客户端尚不支持ARI,请确保其证书续订周期与45天的证书兼容。例如,以固定的60天间隔续订证书已不再适用。可接受的做法是在当前证书有效期大约三分之二时进行续订。
不建议手动续订证书,因为证书有效期越短,续订频率就越高。
Let's Encrypt还建议用户确保系统具备足够的监控机制,以便在证书未按预期续期时发出适当的警报。Let's Encrypt提供多种监控选项,其中一些已在“监控服务选项”页面上列出。