感谢亚汇网网友同时,Let'sEncrypt将同步推出DNS-PERSIST-01持久验证——只需一次性在DNS设置TXT记录,往后续期可直接复用,无须再自动修改DNS。过渡流程:2026年5月13日起,tlsserver配置先行签发45天证书2027年2月10日,默认classic配置改为64天2028年2月16日全面改为45天,并把域名授权重用期由30天缩短至7小时。自动续期用户通常无需更改设置,但应确保续期计划兼容更短生命周期。建议启用ACMERenewalInformation(ARI)。Let'sEncrypt宣布将在未来数年内逐步缩短证书有效期,最短将降至45天。这一调整符合CA/BrowserForum的行业要求,旨在提升互联网安全性,并推动整个行业向更高频率的证书更新机制过渡。根据Let'sEncrypt公布的计划,当前默认的90天证书有效期将在2028年缩短一半。缩短证书使用周期有助于限制潜在安全事件的影响范围,也能提高吊销机制的效率。与此同时,域名控制验证(Authorization)可重复使用的时间窗口也将从原本的30天减少至7小时,进一步强化整体安全性。为减少对用户的影响,Let'sEncrypt将通过多个阶段逐步实施:2026年5月起,用户可通过tlsserver配置文件提前选择45天有效期;2027年2月,默认classic配置文件将调整为64天有效期,并缩短验证复用为10天;最终在2028年2月,classic配置将正式改为45天有效期和7小时验证复用。用户将在下一次证书续期时体验到相应变化。Let'sEncrypt表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有ACME客户端是否能应对更频繁的续期。官方推荐使用ARI(ACMERenewalInformation)机制,让客户端自动判断最佳续期时间。若所使用的客户端尚未支持ARI,也应调整续期策略,例如在证书生命周期约三分之二处触发更新,而不再依赖固定的60天周期。此外,为解决自动化签发中最棘手的“域名验证”问题,Let'sEncrypt正推动一种全新的DNS-PERSIST-01验证方式。亚汇网注意到,目前的DNS-01、HTTP-01和TLS-ALPN-01都需要对基础设施进行实时访问,而新的DNS-PERSIST-01允许设置一次TXT记录后长期使用,无需在每次续期时修改DNS。这将大幅降低自动化门槛,预计将在2026年推出。随着更短的证书生命周期成为行业趋势,Let'sEncrypt通过更细化的过渡计划和新验证方式,试图为用户提供更安全且更易自动化的证书管理路径。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
Let's Encrypt 宣布 TLS 证书有效期减半:2028 年全面缩至 45 天,同步推出 DNS-PERSIST-01 持久验证
文 / 小亚
2025-12-02 23:39:07
来源:亚汇网
