📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
这一调整符合 CA / Browser Forum 的行业要求,旨在提升互联网安全性,并推动整个行业向更高频率的证书更新机制过渡。
免费证书颁发机构 Let's Encrypt 今日宣布:到 2028 年,其公信 TLS 证书有效期将从 90 天减半至 45 天。
同时,Let's Encrypt 将同步推出 DNS-PERSIST-01 持久验证 —— 只需一次性在 DNS 设置 TXT 记录,往后续期可直接复用,无须再自动修改 DNS。
过渡流程:
- 2026 年 5 月 13 日起,tlsserver 配置先行签发 45 天证书
- 2027 年 2 月 10 日,默认 classic 配置改为 64 天
- 2028 年 2 月 16 日全面改为 45 天,并把域名授权重用期由 30 天缩短至 7 小时。
Let's Encrypt 表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。
根据 Let's Encrypt 公布的计划,当前默认的 90 天证书有效期将在 2028 年前分阶段缩短一半。缩短证书使用周期有助于限制潜在安全事件的影响范围,也能提高吊销机制的效率。与此同时,域名控制验证(Authorization)可重复使用的时间窗口也将从原本的 30 天减少至 7 小时,进一步强化整体安全性。
为减少对用户的影响,Let's Encrypt 将通过多个阶段逐步实施:2026 年 5 月起,用户可通过 tlsserver 配置文件提前选择 45 天有效期;2027 年 2 月,默认 classic 配置文件将调整为 64 天有效期,并缩短验证复用为 10 天;最终在 2028 年 2 月,classic 配置将正式改为 45 天有效期和 7 小时验证复用。用户将在下一次证书续期时体验到相应变化。
Let's Encrypt 表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。官方推荐使用 ARI(ACME Renewal Information)机制,让客户端自动判断最佳续期时间。若所使用的客户端尚未支持 ARI,也应调整续期策略,例如在证书生命周期约三分之二处触发更新,而不再依赖固定的 60 天周期。
此外,为解决自动化签发中最棘手的“域名验证”问题,Let's Encrypt 正推动一种全新的 DNS-PERSIST-01 验证方式。目前的 DNS-01、HTTP-01 和 TLS-ALPN-01 都需要对基础设施进行实时访问,而新的 DNS-PERSIST-01 允许设置一次 TXT 记录后长期使用,无需在每次续期时修改 DNS。这将大幅降低自动化门槛,预计将在 2026 年推出。
苹果早前还提议将所有 TLS 数字证书有效期缩短至 45 天,这极大地考验 IT 管理员部署的自动续期能力,因为并非所有服务都能实现全自动续期 TLS 证书。
现在苹果自己也出现了类似问题,从今天早晨开始 Apple Music 使用的 TLS 数字证书过期,导致大量用户无法正常听歌。
当用户使用 Apple Music 听歌时会出现 play.itunes.apple.com 证书认证错误,蓝点网测试发现该证书已经在今天凌晨某个时候过期。
显然苹果自己也没处理好证书需求问题,尤其是 Apple Music 面向全球用户提供服务,可能部署了多个不同的节点和数字证书。
