Let’s Encrypt 计划到 2028 年将证书有效期缩短至 45 天

Let’s Encrypt 宣布，将在未来几年内逐步缩短其颁发的公开信任 TLS 证书有效期，从目前的 90 天降至 45 天，目标完成时间为 2028 年。 这一调整是整个行业共同推进的变革，由 CA/Browser Forum 制定的基线要求所驱动，所有受信任的证书颁发机构都将采取类似做法，从而通过缩短证书生命周期来提升互联网整体安全性，限制密钥泄露等风险的影响范围，并提高吊销机制的效率。

除了证书有效期本身，Let’s Encrypt 还将显著缩短域名控制验证结果的复用时长（authorization reuse period），即在完成一次域名控制验证后，允许在多长时间内基于该验证继续签发证书的窗口期。 这一时长目前为 30 天，计划到 2028 年收紧到仅 7 小时，使得域名控制需要更频繁地重新验证，以降低长期授权被滥用的风险。

为尽量减少对现有用户的影响，Let’s Encrypt 将分阶段实施这些变更，并通过 ACME Profiles 让用户在客户端侧控制切换时点。 官方时间表显示：2026 年 5 月 13 日起，可选的 tlsserver 配置档将率先改为签发 45 天证书；2027 年 2 月 10 日，默认的 classic 配置档将改为签发 64 天证书，并将授权复用期缩短到 10 天；到 2028 年 2 月 16 日，classic 配置档将进一步调整为 45 天证书和 7 小时授权复用期。 这些日期仅影响新签发证书，用户会在后续自动续期时逐步感受到有效期缩短。

对于已经依赖自动化方式获取和续期证书的大部分用户而言，官方认为通常不需要进行重大修改，但建议检查现有自动化流程是否适应更短的有效期。 Let’s Encrypt 推荐 ACME 客户端支持并启用 ACME Renewal Information（ARI）机制，以便客户端获知合适的续期时机；若客户端暂不支持 ARI，则应确保续期调度频率足够高，例如避免使用“固定 60 天续期”的策略，而是选择在证书生命周期的大约三分之二处触发续期任务。 手工续期则被明确不推荐，因为在证书生命周期进一步缩短后，这会变得更加频繁且容易出错。

官方同时强调，运维团队应确保具备充分的监控与告警机制，一旦证书未按预期续期，系统可以及时发出提醒，以避免服务中断或安全风险。 Let’s Encrypt 在其网站上列出多种第三方和自建监控方案，供用户选择合适的监控服务组合，以适应更短证书生命周期带来的运维要求。

考虑到缩短证书有效期和授权复用期会迫使用户更频繁地证明域名控制权，Let’s Encrypt 也在推动新的验证机制，以降低自动化难度。 目前 ACME 协议中的 HTTP-01、TLS-ALPN-01 与 DNS-01 挑战通常都要求 ACME 客户端在每次验证时对 Web 服务器或 DNS 基础设施具有实时操作权限，这在安全隔离和权限最小化方面带来挑战。 为此，Let’s Encrypt 正与 CA/Browser Forum 和 IETF 合作推动 DNS-PERSIST-01 标准化，其核心优势在于：用于证明域名控制权的 DNS TXT 记录在后续续期中无需频繁改变。

一旦 DNS-PERSIST-01 可用，用户可以一次性设置 DNS 记录，此后即可在不自动更新 DNS 配置的前提下实现长期自动续期，有助于更多组织在不放宽基础设施访问权限的前提下完成证书自动化部署。 同时，这种做法也降低了对“授权复用期”本身的依赖，因为长期不变的 DNS 记录可以持续支撑域名控制验证，无需 ACME 客户端反复介入配置更新。 Let’s Encrypt 预计该新挑战类型将在 2026 年面向用户提供，并表示会在接近落地时公布更多细节与实施指南。

Let’s Encrypt 呼吁有需要及时获知技术变更的用户订阅其技术更新邮件列表，以便接收关于证书有效期调整、验证机制变化等方面的最新通知和提醒。 用户若有具体问题，可以前往官方社区论坛进行交流和求助；如希望了解 Let’s Encrypt 及其上级非营利组织 Internet Security Research Group（ISRG）在更广泛互联网安全与隐私项目上的工作进展，可查阅新近发布的年度报告。