Let’s Encrypt 官方宣布,将在未来几年逐步缩短SSL/TLS证书有效期,最终从当前的90天缩短至45天。此调整将于2028年2月完全生效,是行业整体强化HTTPS安全性的趋势之一。
缩短有效期有助于减少证书泄露造成的风险窗口,也能提升自动化续期体系的可靠性。
关键时间节点
Let’s Encrypt 将以分阶段方式实施缩短周期:
- 2026 年 5 月:提供可选配置,允许用户提前测试新的证书策略。
- 2027 年 2 月:默认证书有效期调整为 64 天。
- 2028 年 2 月:证书有效期更新为 45 天,正式生效。
证书有效期的变更将在用户下一次续期时开始体现。
为什么要缩短证书有效期?
证书有效期越短:
- 泄露风险降低:即使证书或私钥泄露,攻击者可利用的时间大幅缩短。
- 自动化更新更可靠:短周期促使系统更依赖自动化流程,减少人为失误导致的网站中断。
- 安全生态更健康:行业普遍认为较短周期能推动更快、更规律的更新节奏。
用户需要做什么?
对于大多数用户,特别是已经启用自动续期的用户,影响并不大。但依然建议进行以下检查:
- 确认你的证书系统支持自动续期。 如果你仍手动续期,那么未来有效期缩短后将变得难以管理,需尽快改为自动化方式。
- 避免固定天数续期策略
例如:“每隔 60 天续期一次”的策略将不再适用。
应使用能够“动态判断是否需要续期”的逻辑(常见于成熟的 ACME 客户端)。 - 保留必要的监控和告警机制 证书续期失败时应快速通知管理员,减少网站因证书过期而无法访问的情况。
新的 DNS 一次性验证方式(预计 2026)
Let’s Encrypt 正在开发一种新的 DNS 验证机制:
只需设置一次 DNS 记录即可长期用于证书续期,无需重复修改。
这将极大降低自动化的阻碍,也能让续期过程更加稳定可靠。
ANSSL 如何帮助你适应这一变化?
随着有效期缩短,证书续期的频率会增加,但使用专业工具可以让这些变化完全透明化。
ANSSL提供:
- 全自动续期:适配 ACME 自动化,无需人工介入。
- 续期失败告警:实时监控证书状态,避免过期风险。
- 一键部署:支持 Nginx、Apache、IIS、宝塔等多种环境。
- 证书托管:统一管理多个域名与证书。
- 未来 DNS 一次性验证适配支持:减少 DNS 操作次数。
无论证书有效期是 90 天、45 天,甚至未来更短,自动化体系都能确保“无感续期”。
转自:Let’s Encrypt原文链接:原文