Let’s Encrypt宣布2028 年其免费SSL证书有效期从90天缩短到45天

Let’s Encrypt宣布将其免费SSL证书有效期从90天缩短到45天。

2025年12月2日，Let’s Encrypt 突然宣布将在 2028 年将其证书有效期从 90 天缩短至 45 天，这一调整旨在提升互联网安全性，符合行业规范，并分阶段实施以减少对用户的影响。

此次调整由 CA/Browser Forum 制定的基线要求所驱动，所有受信任的证书颁发机构都将采取类似做法。

通过缩短证书生命周期，可以限制密钥泄露等风险的影响范围，提高吊销机制的效率，从而提升互联网整体安全性。

调整内容

• 证书有效期：从目前的 90 天缩短至 45 天。
• 域名控制验证结果的复用时长（authorization reuse period）：从 30 天缩短至 7 小时，意味着每次续期时都需要重新确认域名所有权。

实施计划

Let’s Encrypt 将分阶段实施这些变更，以减少对现有用户的影响：

• 2026 年 5 月 13 日：可选的 tlsserver 配置档将率先改为签发 45 天证书。
• 2027 年 2 月 10 日：默认的 classic 配置档将改为签发 64 天证书，并将授权复用期缩短到 10 天。
• 2028 年 2 月 16 日：classic 配置档将进一步调整为 45 天证书和 7 小时授权复用期。

对用户的影响与建议

• 自动化用户：对于已经依赖自动化方式获取和续期证书的大部分用户而言，官方认为通常不需要进行重大修改。但建议检查现有自动化流程是否适应更短的有效期，并启用 ACME Renewal Information（ARI）机制，以便客户端获知合适的续期时机。
• 非自动化用户：若客户端暂不支持 ARI，则应确保续期调度频率足够高，例如避免使用“固定 60 天续期”的策略，而是选择在证书生命周期的大约三分之二处触发续期任务。手工续期则被明确不推荐，因为在证书生命周期进一步缩短后，这会变得更加频繁且容易出错。
• 监控与告警：运维团队应确保具备充分的监控与告警机制，一旦证书未按预期续期，系统可以及时发出提醒，以避免服务中断或安全风险。

新验证机制

为降低频繁验证带来的负担，Let’s Encrypt 正在推动新的验证机制——DNS-PERSIST-01，其核心优势在于：

• 持久验证：用于证明域名控制权的 DNS TXT 记录在后续续期中无需频繁改变。用户可以一次性设置 DNS 记录，此后即可在不自动更新 DNS 配置的前提下实现长期自动续期。
• 降低自动化难度：这一做法有助于更多组织在不放宽基础设施访问权限的前提下完成证书自动化部署，同时降低了对“授权复用期”本身的依赖。

来源：Java编程鸭