Let's Encrypt宣布公信TLS证书有效期减半：2028年全面缩至 45 天这一调整符合 CA / Browser Forum 的行业要求，旨在提升互联网安全性，并推动整个行业向更高频率的证书更新机制过渡

Tue, 02 Dec 2025 16:11:16 GMT

Let's Encrypt宣布公信TLS证书有效期减半：2028年全面缩至 45 天

这一调整符合 CA / Browser Forum 的行业要求，旨在提升互联网安全性，并推动整个行业向更高频率的证书更新机制过渡。

免费证书颁发机构 Let's Encrypt 今日宣布：到 2028 年，其公信 TLS 证书有效期将从 90 天减半至 45 天。

同时，Let's Encrypt 将同步推出 DNS-PERSIST-01 持久验证 —— 只需一次性在 DNS 设置 TXT 记录，往后续期可直接复用，无须再自动修改 DNS。

过渡流程：
- 2026 年 5 月 13 日起，tlsserver 配置先行签发 45 天证书
- 2027 年 2 月 10 日，默认 classic 配置改为 64 天
- 2028 年 2 月 16 日全面改为 45 天，并把域名授权重用期由 30 天缩短至 7 小时。

Let's Encrypt 表示，大多数拥有自动化证书签发流程的用户无需采取额外措施，但建议确认现有 ACME 客户端是否能应对更频繁的续期。

根据 Let's Encrypt 公布的计划，当前默认的 90 天证书有效期将在 2028 年前分阶段缩短一半。缩短证书使用周期有助于限制潜在安全事件的影响范围，也能提高吊销机制的效率。与此同时，域名控制验证（Authorization）可重复使用的时间窗口也将从原本的 30 天减少至 7 小时，进一步强化整体安全性。

为减少对用户的影响，Let's Encrypt 将通过多个阶段逐步实施：2026 年 5 月起，用户可通过 tlsserver 配置文件提前选择 45 天有效期；2027 年 2 月，默认 classic 配置文件将调整为 64 天有效期，并缩短验证复用为 10 天；最终在 2028 年 2 月，classic 配置将正式改为 45 天有效期和 7 小时验证复用。用户将在下一次证书续期时体验到相应变化。

Let's Encrypt 表示，大多数拥有自动化证书签发流程的用户无需采取额外措施，但建议确认现有 ACME 客户端是否能应对更频繁的续期。官方推荐使用 ARI（ACME Renewal Information）机制，让客户端自动判断最佳续期时间。若所使用的客户端尚未支持 ARI，也应调整续期策略，例如在证书生命周期约三分之二处触发更新，而不再依赖固定的 60 天周期。

此外，为解决自动化签发中最棘手的“域名验证”问题，Let's Encrypt 正推动一种全新的 DNS-PERSIST-01 验证方式。目前的 DNS-01、HTTP-01 和 TLS-ALPN-01 都需要对基础设施进行实时访问，而新的 DNS-PERSIST-01 允许设置一次 TXT 记录后长期使用，无需在每次续期时修改 DNS。这将大幅降低自动化门槛，预计将在 2026 年推出。

🗒 标签: #证书 #letsencrypt
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

letsencrypt | Yummy 😋

Let's Encrypt宣布公信TLS证书有效期减半：2028年全面缩至 45 天这一调整符合 CA / Browser Forum 的行业要求，旨在提升互联网安全性，并推动整个行业向更高频率的证书更新机制过渡