Let’s Encrypt重大调整倒计时：TLS/SSL证书有效期缩至45天，域名验证窗口压缩至7小时

Let’s Encrypt指出，此项调整是响应CA/B论坛基准要求而实施的行业统一行动，所有受公众信任的证书颁发机构都将进行类似调整。缩短TLS/SSL证书有效期被认为有助于减少密钥泄露带来的风险暴露，并提升证书撤销技术效率，从而整体增强互联网的安全性。

这一变更延续了Web PKI向高频更新和自动化管理发展的趋势，也意味着未来的证书生态将更依赖自动化工具来确保证书的及时续期和安全管理。

　关键变更：从2026到2028的三阶段调整

根据Let’s Encrypt的公告，为降低影响，其将分阶段推行此项变更。

　　“我们将通过ACME Profiles，使用户能够自主控制变更生效时间。相关配置需在您的ACME客户端中进行设置，详细信息可参阅我们的专题公告博客。”

以下生产环境变更日期前约一个月，相关更新将先行部署至测试环境：

2026年5月13日

Let’s Encrypt的tlsserver ACME配置文件将切换为签发45天有效期证书。

该配置文件为可选模式，供先行测试用户使用。

2027年2月10日

默认classic ACME配置文件将调整为签发64天有效期证书，授权重用期缩短为10天。

未选择tlsserver或shortlived（6天）配置文件的用户将受此影响。

2028年2月16日

classic配置文件将再次升级，签发45天有效期证书并实施7小时授权重用期。

需要强调的是，这些日期均指新签发证书生效的时间，对于Let’s Encrypt用户，首次续期时将适用缩短后的有效期。

　对用户的影响：自动化成为硬性前提

Let’s Encrypt在公告中指出，大多数使用自动化ACME客户端的用户无需额外调整，但需确认现有自动化流程是否能适配更短的证书有效期。

为此，Let’s Encrypt推荐用户启用ACME Renewal Information（ARI），以更精准地决定续期时机。

　　“ARI是我们引入的一项功能，用于帮助客户端判断何时应续期证书。如何启用ARI取决于具体客户端，请查阅您的ACME客户端文档。如果您是客户端开发者，请参考我们的集成指南。”

若客户端暂不支持该功能，请确保其运行计划能够适应45天有效期。例如：固定60天续期间隔将不再适用。建议采用当前证书有效期三分之二时段进行续期的策略。

Let’s Encrypt强调不建议采用手动续期方式，因证书有效期缩短将大幅增加操作频率。

同时建议建立完善的监控机制，在证书未按时续期时触发预警。

　DNS-PERSIST-01：为更频繁的验证周期提供新方案

对多数用户而言，自动签发证书最复杂的环节在于域名控制验证。证书有效期与授权重用期的缩短，将增加验证频率。

当前所有验证方式均要求ACME客户端实时接入基础设施：无论是提供正确的HTTP-01验证令牌、执行TLS-ALPN-01握手协议，还是更新DNS-01 TXT记录。

长期以来，业界一直寻求在不授予敏感系统访问权限的前提下运行ACME客户端的解决方案。

这次，Let’s Encrypt也宣布正在与CA/B论坛及IETF的合作伙伴共同推进一种新验证方法的标准化——DNS-PERSIST-01。

其核心优势在于：用于证明控制权的DNS TXT记录无需每次续期更新。

这意味着您只需配置一次DNS记录即可实现证书自动续期，无需建立DNS自动更新机制。这将显著降低自动化门槛，同时减少对授权复用的依赖，因为DNS记录保持不变，无需ACME客户端持续参与。

DNS-PERSIST-01标准预计于2026年正式推出，更多细节将陆续公布。

总而言之，证书有效期的缩短既是行业演进趋势，也是推动互联网安全基础设施加速升级的必然选择。

建议开发者与企业网站管理员尽早着手：评估现有自动化续期流程、完善监控与预警机制，并持续关注DNS-PERSIST-01等新标准的进展。

只有主动适应这一“加速更新”周期，才能在未来更频繁的证书轮换中保持业务服务的安全、稳定，从容迎接一个更加可信的互联网。

　　编辑｜公钥密码开放社区

　　免责声明

　　1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

　　2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。