📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
这一调整符合 CA / Browser Forum 的行业要求,旨在提升互联网安全性,并推动整个行业向更高频率的证书更新机制过渡。
免费证书颁发机构 Let's Encrypt 今日宣布:到 2028 年,其公信 TLS 证书有效期将从 90 天减半至 45 天。
同时,Let's Encrypt 将同步推出 DNS-PERSIST-01 持久验证 —— 只需一次性在 DNS 设置 TXT 记录,往后续期可直接复用,无须再自动修改 DNS。
过渡流程:
- 2026 年 5 月 13 日起,tlsserver 配置先行签发 45 天证书
- 2027 年 2 月 10 日,默认 classic 配置改为 64 天
- 2028 年 2 月 16 日全面改为 45 天,并把域名授权重用期由 30 天缩短至 7 小时。
Let's Encrypt 表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。
根据 Let's Encrypt 公布的计划,当前默认的 90 天证书有效期将在 2028 年前分阶段缩短一半。缩短证书使用周期有助于限制潜在安全事件的影响范围,也能提高吊销机制的效率。与此同时,域名控制验证(Authorization)可重复使用的时间窗口也将从原本的 30 天减少至 7 小时,进一步强化整体安全性。
为减少对用户的影响,Let's Encrypt 将通过多个阶段逐步实施:2026 年 5 月起,用户可通过 tlsserver 配置文件提前选择 45 天有效期;2027 年 2 月,默认 classic 配置文件将调整为 64 天有效期,并缩短验证复用为 10 天;最终在 2028 年 2 月,classic 配置将正式改为 45 天有效期和 7 小时验证复用。用户将在下一次证书续期时体验到相应变化。
Let's Encrypt 表示,大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。官方推荐使用 ARI(ACME Renewal Information)机制,让客户端自动判断最佳续期时间。若所使用的客户端尚未支持 ARI,也应调整续期策略,例如在证书生命周期约三分之二处触发更新,而不再依赖固定的 60 天周期。
此外,为解决自动化签发中最棘手的“域名验证”问题,Let's Encrypt 正推动一种全新的 DNS-PERSIST-01 验证方式。目前的 DNS-01、HTTP-01 和 TLS-ALPN-01 都需要对基础设施进行实时访问,而新的 DNS-PERSIST-01 允许设置一次 TXT 记录后长期使用,无需在每次续期时修改 DNS。这将大幅降低自动化门槛,预计将在 2026 年推出。
