全球知名的免费证书服务商 Let’s Encrypt 昨天宣布,将逐步把证书有效期缩短到 45 天。从 2026 年开始,用户可以选择生成 45 天有效期的证书,到 2027 年默认有效期会变成 64 天,最终在 2028 年全面默认 45 天。
具体时间安排如下:
- 2026 年 5 月 13 日(可选阶段)
- 新增一个叫
tlsserver的配置档,选用的用户会收到 45 天有效期的证书,适合想提前尝试的用户。 - 2027 年 2 月 10 日
- 默认的
classic配置档有效期从 90 天缩短到 64 天,域名验证结果的有效期也从 30 天减到 10 天。 - 2028 年 2 月 16 日
classic配置档的证书有效期进一步降到 45 天,和tlsserver一致,同时域名验证结果的有效期大幅缩短到只有 7 小时。
这里的“验证结果重用”指的是完成一次域名验证后,这个结果能被重复使用的时间。比如你通过 DNS 验证了 appinn.com,在有效期内重新签发证书就不用再验证一次。
为什么证书有效期越来越短?
证书有效期从最早的 5 年一路缩短到现在的 3 个月,未来还要变成 45 天。这背后有几个主要原因:
- 提升安全性
- 缩短有效期能减少密钥泄露或错误签发证书带来的风险,让整个网络环境更安全。
- 更灵活地更新
- 证书时间短了,全网可以更快地采用新协议、新算法或更安全的密钥,跟上行业标准。
- 减少配置错误的长期影响
- 证书里信息很多,如果配置有误,短有效期可以避免错误信息在互联网上留存好几年。
- 自动化已成趋势
- 现在 90 天的有效期已经让很多人(比如 @Appinn 的青小蛙)不得不实现自动化续期,未来 45 天更是必须自动化。
- 其他好处
- 包括降低证书颁发机构的运营成本、让证书撤销更快速,以及为未来的后量子密码学(PQC)过渡做准备。
总之,以后管理证书,自动化是必须的。值得一提的是,Let’s Encrypt 在今年 1 月就已经推出了有效期仅 6 天且支持 IP 地址的 HTTPS 证书,这次调整也是顺应行业缩短有效期的大趋势。
声明:本站所有资源均来自互联网,仅供学习参考使用。任何个人或组织不得将本站资源用于任何形式的商业用途。若因擅自商用导致法律纠纷,一切责任由使用者自行承担。
荔枝源码
394914567