摘要
公益证书机构 Let’s Encrypt 推出名为“Generation Y”的新证书体系,该体系由2个新根证书和6个新中级证书构成,并通过现有根证书交叉签名以确保兼容性。核心变更包括:计划在2028年前将默认证书有效期分阶段缩短至45天;自2026年2月起终止TLS客户端认证功能,并于同年5月13日切换默认ACME配置。此举旨在通过缩短证书生命周期来缩小攻击窗口、加速密码学算法更新,并降低错误签发带来的长期影响。
线索
此次技术升级对依赖Let’s Encrypt的生态系统既是机遇也是挑战。机遇方面,更短的证书有效期和新增的IP地址证书支持,将催生对更强大、更智能的自动化证书管理工具(ACME客户端、DevSecOps平台)的需求,为相关技术服务商创造了市场空间。对于云服务商和托管平台,率先无缝适配这些变化可作为一项安全优势进行营销。风险方面,证书有效期缩短至45天,对现有自动化续期系统的可靠性提出了极高要求,任何续期失败导致的服务中断风险将显著增加,企业需投入资源加强监控和告警机制。此外,仍在使用TLS客户端认证的系统面临明确的淘汰时间线,必须在2026年5月前完成迁移,否则将面临服务中断的刚性风险。
正文
Let’s Encrypt 上线了全新的“Generation Y”证书层级架构。
该架构包含以下核心组成部分与变更:
* 新证书体系:由2张新的根证书和6张新的中级证书组成。这些新证书通过现有的“Generation X”根证书X1和X2进行交叉签名,以确保在当前信任X1/X2的环境中,新架构能被立即信任和使用。
* TLS客户端认证弃用:TLS客户端认证功能将从2026年2月起开始终止。自2026年5月13日起,默认的ACME配置将切换至基于Generation Y且不包含客户端认证功能的新层级。对于需要过渡期的用户,可使用名为“tlsclient”的配置,继续沿用Generation X根证书直至2026年5月。
* 证书有效期缩短计划:Let’s Encrypt将遵循CA/浏览器论坛的基线要求,分阶段缩短证书生命周期。
* 2026年:进入自愿试用阶段。早期采用者和测试用户可通过“tlsserver”配置选择获取有效期为45天的证书。
* 2027年:系统默认证书有效期将降至64天。
* 2028年:默认有效期将进一步缩短至45天,使短周期证书成为常态。
* 缩短有效期的目的:此举旨在缩小安全攻击的时间窗口,更快速地推进密码学算法的更新与部署,并降低证书错误签发等问题的长期影响。
* 其他更新:从本周起,使用“tlsserver”和“short-lived”配置的用户将开始收到基于Generation Y层级签发的证书。这标志着可选的短生命周期证书已进入“普遍可用”阶段。同时,新体系增加了对在证书中直接包含IP地址的支持。
对于网站运营方和服务提供商而言,未来几年需要逐步适配更频繁的自动续期流程,以确保在安全性增强的同时,维持服务的稳定性。
发布时间
2025-12-16 15:49:00
评论 ( 0 )