Let’s Encrypt 計劃到 2028 年將證書有效期縮短至 45 天

Let’s Encrypt 宣布，將在未來幾年內逐步縮短其頒發的公開信任 TLS 證書有效期，從目前的 90 天降至 45 天，目標完成時間為 2028 年。 這一調整是整個行業共同推進的變革，由 CA/Browser Forum 制定的基線要求所驅動，所有受信任的證書頒發機構都將采取類似做法，從而通過縮短證書生命周期來提升互聯網整體安全性，限制密鑰泄露等風險的影響范圍，并提高吊銷機制的效率。

除了證書有效期本身，Let’s Encrypt 還將顯著縮短域名控制驗證結果的復用時長（authorization reuse period），即在完成一次域名控制驗證后，允許在多長時間內基于該驗證繼續簽發證書的窗口期。 這一時長目前為 30 天，計劃到 2028 年收緊到僅 7 小時，使得域名控制需要更頻繁地重新驗證，以降低長期授權被濫用的風險。

為盡量減少對現有用戶的影響，Let’s Encrypt 將分階段實施這些變更，并通過 ACME Profiles 讓用戶在客戶端側控制切換時點。 官方時間表顯示：2026 年 5 月 13 日起，可選的 tlsserver 配置檔將率先改為簽發 45 天證書；2027 年 2 月 10 日，默認的 classic 配置檔將改為簽發 64 天證書，并將授權復用期縮短到 10 天；到 2028 年 2 月 16 日，classic 配置檔將進一步調整為 45 天證書和 7 小時授權復用期。 這些日期僅影響新簽發證書，用戶會在后續自動續期時逐步感受到有效期縮短。

對于已經依賴自動化方式獲取和續期證書的大部分用戶而言，官方認為通常不需要進行重大修改，但建議檢查現有自動化流程是否適應更短的有效期。 Let’s Encrypt 推薦 ACME 客戶端支持并啟用 ACME Renewal Information（ARI）機制，以便客戶端獲知合適的續期時機；若客戶端暫不支持 ARI，則應確保續期調度頻率足夠高，例如避免使用“固定 60 天續期”的策略，而是選擇在證書生命周期的大約三分之二處觸發續期任務。 手工續期則被明確不推薦，因為在證書生命周期進一步縮短后，這會變得更加頻繁且容易出錯。

官方同時強調，運維團隊應確保具備充分的監控與告警機制，一旦證書未按預期續期，系統可以及時發出提醒，以避免服務中斷或安全風險。 Let’s Encrypt 在其網站上列出多種第三方和自建監控方案，供用戶選擇合適的監控服務組合，以適應更短證書生命周期帶來的運維要求。

考慮到縮短證書有效期和授權復用期會迫使用戶更頻繁地證明域名控制權，Let’s Encrypt 也在推動新的驗證機制，以降低自動化難度。 目前 ACME 協議中的 HTTP-01、TLS-ALPN-01 與 DNS-01 挑戰通常都要求 ACME 客戶端在每次驗證時對 Web 服務器或 DNS 基礎設施具有實時操作權限，這在安全隔離和權限最小化方面帶來挑戰。 為此，Let’s Encrypt 正與 CA/Browser Forum 和 IETF 合作推動 DNS-PERSIST-01 標準化，其核心優勢在于：用于證明域名控制權的 DNS TXT 記錄在后續續期中無需頻繁改變。

一旦 DNS-PERSIST-01 可用，用戶可以一次性設置 DNS 記錄，此后即可在不自動更新 DNS 配置的前提下實現長期自動續期，有助于更多組織在不放寬基礎設施訪問權限的前提下完成證書自動化部署。 同時，這種做法也降低了對“授權復用期”本身的依賴，因為長期不變的 DNS 記錄可以持續支撐域名控制驗證，無需 ACME 客戶端反復介入配置更新。 Let’s Encrypt 預計該新挑戰類型將在 2026 年面向用戶提供，并表示會在接近落地時公布更多細節與實施指南。

Let’s Encrypt 呼吁有需要及時獲知技術變更的用戶訂閱其技術更新郵件列表，以便接收關于證書有效期調整、驗證機制變化等方面的最新通知和提醒。 用戶若有具體問題，可以前往官方社區論壇進行交流和求助；如希望了解 Let’s Encrypt 及其上級非營利組織 Internet Security Research Group（ISRG）在更廣泛互聯網安全與隱私項目上的工作進展，可查閱新近發布的年度報告。