前端资源网 - w3h5说到免费 SSL 证书,大家应对 Let's Encrypt 应该都不陌生,对于正在维护个人博客、独立开发项目或企业官网的前端和全栈开发者来说,Let's Encrypt 几乎是 HTTPS 配置的代名词。
今天(2025年12月2日),Let's Encrypt 发布重要公告:为提升网络安全性,其颁发的公信 TLS 证书有效期将逐步从当前的 90天减半至45天。这一变更将于 2028年2月16日 全面落地。
与此同时,为缓解频繁续期带来的操作压力,Let's Encrypt 将推出一项名为 DNS-PERSIST-01 的全新验证方式,可实现 “一次性DNS配置,永久自动续期”。
为什么缩短有效期?
这并非 Let's Encrypt 的独立决策,而是遵循 CA/Browser Forum 的行业标准要求。缩短证书有效期主要带来两大安全优势:
1. 限制泄露影响:如果证书私钥不幸泄露,其可被恶意利用的时间窗口大大缩短。
2. 提升吊销效率:证书生命周期越短,证书吊销机制(OCSP等)的实际重要性就越低,因为坏证书很快会自然过期。
简而言之,这就像更频繁地更换密码,是提升整体安全性的有效手段。
对用户的影响与行动建议
1. 自动化用户(绝大多数用户)
如果已经使用 Certbot 等 ACME 客户端实现了证书自动续期,一般不需要立即修改配置。但需要确保续期逻辑能够适应更短的证书生命周期。
强烈推荐启用 ARI:ACME Renewal Information是Let’s Encrypt推出的一项功能,它能明确告知客户端何时是最佳续期时间。
检查续期频率:如果客户端不支持 ARI,请确保它的续期计划(如Cron Job)足够频繁。例如,之前设定的每60天续期一次的策略将不再安全。建议的实践是在证书生命周期的约 2/3 时进行续期(对于45天证书,即到期前15天左右)。
2. 手动管理证书的用户
手动续期证书的体验将变得更具挑战性。强烈建议您借此机会,将证书管理流程自动化。
3. 监控的重要性
无论采用何种方式,请务必为您的系统设置证书过期监控告警。这能有效防止因意外续期失败导致的服务中断。
未来之光:DNS-PERSIST-01
频繁续期意味着需要更频繁地验证域名所有权。目前的 HTTP-01 或 DNS-01 等方法都需要 ACME 客户端有权限操作您的 Web 服务器或 DNS 记录,这给自动化带来了一定的复杂性和安全风险。
为此,Let's Encrypt 正在与行业伙伴合作标准化一种新的验证方法:DNS-PERSIST-01。
核心优势:您只需要一次性在 DNS 中配置一个特定的 TXT 记录,之后的所有证书续期都可以复用该记录,无需再次修改 DNS。
重大意义:这将极大简化自动化流程,特别适合那些 DNS API 难以调用或希望减少自动化脚本对关键基础设施访问的场景。
该技术预计在 2026年可用。
详细过渡时间表
tlsserverACME配置 将率先开始签发45天有效期证书。此配置为可选,供开发者和早期采用者进行测试。 | |
classicACME配置 开始签发 64天 有效期证书,并将域名授权重用期从30天缩短至10天。 | |
classic配置的证书有效期最终缩短至 45天,域名授权重用期大幅缩短至 7小时。 |
Let's Encrypt 此次调整,再次引领了网络安全最佳实践:缩短证书有效期能够更快速响应证书失效、滥用等问题,降低潜在风险。同时,新的 DNS 持久验证功能也展现了 Let's Encrypt 在自动化与便捷性上的持续提升。
对于前端开发者和网站管理者:尽早关注这一改动,确保开发环境、生产环境的续期脚本与机制能够正常应对新规则,避免证书过期带来的服务中断。
未经允许不得转载:前端资源网 - w3h5 » Let's Encrypt宣布证书有效期再减半:2028年证全面缩减至45天
Cloudflare又崩了?全球网站一片500,老外也体验了一把“Bad Gateway”!