感谢网友 咩咩洋 的线索投递!
12 月 2 日消息,免费证书颁发机构 Let’s Encrypt 今日宣布:到 2028 年,其公信 TLS 证书有效期将从 90 天减半至 45 天。
同时,Let’s Encrypt 将同步推出 DNS-PERSIST-01 持久验证 —— 只需一次性在 DNS 设置 TXT 记录,往后续期可直接复用,无须再自动修改 DNS。
过渡流程:
-
2026 年 5 月 13 日起,tlsserver 配置先行签发 45 天证书
-
2027 年 2 月 10 日,默认 classic 配置改为 64 天
-
2028 年 2 月 16 日全面改为 45 天,并把域名授权重用期由 30 天缩短至 7 小时。
自动续期用户通常无需更改设置,但应确保续期计划兼容更短生命周期。建议启用 ACME Renewal Information(ARI)。
Let’s Encrypt 宣布将在未来数年内逐步缩短证书有效期,最短将降至 45 天。这一调整符合 CA / Browser Forum 的行业要求,旨在提升互联网安全性,并推动整个行业向更高频率的证书更新机制过渡。
根据 Let’s Encrypt 公布的计划,当前默认的 90 天证书有效期将在 2028 年缩短一半。缩短证书使用周期有助于限制潜在安全事件的影响范围,也能提高吊销机制的效率。与此同时,域名控制验证(Authorization)可重复使用的时间窗口也将从原本的 30 天减少至 7 小时,进一步强化整体安全性。
为减少对用户的影响,Let’s Encrypt 将通过多个阶段逐步实施:2026 年 5 月起,用户可通过 tlsserver 配置文件提前选择 45 天有效期;2027 年 2 月,默认 classic 配置文件将调整为 64 天有效期,并缩短验证复用为 10 天;最终在 2028 年 2 月,classic 配置将正式改为 45 天有效期和 7 小时验证复用。用户将在下一次证书续期时体验到相应变化。
Let’s Encrypt 表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。官方推荐使用 ARI(ACME Renewal Information)机制,让客户端自动判断最佳续期时间。若所使用的客户端尚未支持 ARI,也应调整续期策略,例如在证书生命周期约三分之二处触发更新,而不再依赖固定的 60 天周期。
此外,为解决自动化签发中最棘手的“域名验证”问题,Let’s Encrypt 正推动一种全新的 DNS-PERSIST-01 验证方式。
注意到,目前的 DNS-01、HTTP-01 和 TLS-ALPN-01 都需要对基础设施进行实时访问,而新的 DNS-PERSIST-01 允许设置一次 TXT 记录后长期使用,无需在每次续期时修改 DNS。这将大幅降低自动化门槛,预计将在 2026 年推出。
随着更短的证书生命周期成为行业趋势,Let’s Encrypt 通过更细化的过渡计划和新验证方式,试图为用户提供更安全且更易自动化的证书管理路径。