作者:马修・麦克费林(Matthew McPherrin)・2025 年 12 月 2 日
Let’s Encrypt 将缩短所颁发证书的有效期。目前,我们颁发的证书有效期为 90 天;到 2028 年,这一期限将减半,缩短至 45 天。
此次调整是与整个行业同步进行的,符合 CA/Browser 论坛基准要求(CA/Browser Forum Baseline Requirements)的规定。该基准要求明确了我们必须遵守的技术标准,所有像 Let’s Encrypt 这样受公众信任的证书颁发机构(Certificate Authority,CA)都将进行类似调整。缩短证书有效期有助于提升互联网安全性,具体体现在两个方面:一是缩小安全漏洞影响范围,二是提高证书吊销技术的效率。
同时,我们还将缩短授权复用期 —— 即验证域名控制权后,允许为该域名颁发证书的时长。目前授权复用期为 30 天,到 2028 年将缩短至 7 小时。
为最大限度减少对用户的干扰,Let’s Encrypt 将分多个阶段推进此次调整。我们将通过 ACME 配置文件(ACME Profiles),让你能够自主控制调整生效的时间。这些配置文件需在你的 ACME 客户端中进行设置,更多相关信息可参考我们发布的 ACME 配置文件公告博文。
调整内容将在以下生产环境生效日期前约一个月,率先部署到测试环境(staging environment)。
- 2026 年 5 月 13 日:Let’s Encrypt 将把 tlsserver ACME 配置文件切换为颁发 45 天有效期证书。该配置文件需主动选择启用,供早期采用者使用或用于测试。
- 2027 年 2 月 10 日:Let’s Encrypt 将把默认的 classic ACME 配置文件切换为颁发 64 天有效期证书,同时将授权复用期设为 10 天。此次调整将影响所有未选择启用 tlsserver 或 shortlived(6 天有效期)配置文件的用户。
- 2028 年 2 月 16 日:我们将进一步更新 classic 配置文件,使其颁发 45 天有效期证书,并将授权复用期缩短至 7 小时。
上述日期为新证书调整生效的时间,因此 Let’s Encrypt 用户将在这些日期后的下一次证书续期时,看到证书有效期缩短。
大多数自动获取 Let’s Encrypt 证书的用户无需进行任何更改,但需确认你的自动化流程是否兼容有效期更短的证书。
- 为确保 ACME 客户端按时续期,建议使用 ACME 续期信息(ACME Renewal Information,ARI)。ARI 是我们推出的一项功能,可帮助客户端了解证书需续期的时间。不同客户端启用 ARI 的方式不同,请查阅你所使用 ACME 客户端的文档;若你是客户端开发者,可参考此集成指南。
- 若你的客户端暂不支持 ARI,需确保其运行周期与 45 天有效期证书兼容。例如,将续期周期硬编码为 60 天的方式将不再适用,合理的做法包括:在当前证书有效期约三分之二时进行续期。
- 不建议手动续期证书,因为证书有效期缩短后,手动续期的频率将大幅增加。
- 建议确保你的系统具备完善的监控机制,以便在证书未按预期续期时及时发出警报。监控工具选择多样,部分工具可在我们的 “监控服务选项” 页面中查询。
对许多用户而言,自动获取证书的最大难点在于验证域名控制权。而缩短证书有效期与授权复用期后,用户需要更频繁地验证域名控制权。
目前所有验证方式都要求 ACME 客户端能够实时访问你的基础设施:要么提供正确的 HTTP-01 令牌、执行正确的 TLS-ALPN-01 握手,要么更新正确的 DNS-01 TXT 记录。长期以来,用户一直希望有一种无需向 ACME 客户端开放这些敏感系统访问权限的证书获取方式。
正是出于解决这些验证难题的考虑,我们正与 CA/Browser 论坛及互联网工程任务组(IETF)的合作伙伴合作,将一种名为 DNS-PERSIST-01 的新验证方式标准化。这种新方式的核心优势在于:用于验证控制权的 DNS TXT 记录无需在每次续期时更改。
这意味着你只需设置一次 DNS 记录,就能自动续期证书,无需再通过其他方式自动更新 DNS。该功能将让更多用户实现证书续期自动化,同时也能减少对授权复用的依赖 —— 因为 DNS 记录无需 ACME 客户端进一步操作,即可保持不变。
我们预计 DNS-PERSIST-01 将于 2026 年推出,更多相关信息将在后续公布。
