作为全球最知名的免费证书服务商,Let’s Encrypt 昨天正式宣布:证书有效期缩短至 45 天。
从2026年开始,可选生成 45 天证书,2027年默认 64 天,2028年默认 45 天。@Appinn
Let’s Encrypt 在2025年12月3日发布了一篇名为《Decreasing Certificate Lifetimes to 45 Days》的博客文章,宣布了此事。
具体时间表
2026-05-13(可选)
- 新的 “tlsserver” ACME 配置档(profile) 可选使用
- 使用该 profile 的用户将收到 45 天有效期证书
- 这是为提前试用者准备的“早期阶段”
2027-02-10
- 默认的 “classic” profile 的证书有效期从 90 天缩短至 64 天
- 域名授权(Authorization)重用有效期缩短为 10 天
2028-02-16
- “classic” profile 完成最终过渡
- 证书有效期进一步从 64 天降至 45 天(与 tlsserver 一致)
- 授权重用期缩短至 7 小时(从原来的 30 天 → 10 天 → 7 小时)
授权重用是指完成一次域名验证(Domain Control Validation, DCV)后,这次验证的结果可以被重复使用的时间。比如你对 appinn.com 域名进行了 DNS 验证,这样在 10 天内,可以重新签发证书,而不用再次验证。
为什么一而再再而三的缩短证书有效期?
证书有效期从最早5年,已经缩短到了3个月,未来还会近一步缩短至 45 天。
| 时间 | 变化 |
|---|---|
| 2015 前后 | 5 年 → 3 年 |
| 2018 | 3 年 → 最长 825 天(约 27 个月) |
| 2020 | 苹果率先要求缩短到 398 天,行业统一跟进 |
| 2024–2028(含 Let’s Encrypt) | 行业趋势转向 90 天 → 45 天 |
但是,为什么?
主要有以下几点理由:
- 安全性:更短的证书有效期能显著降低密钥泄露和误签发带来的风险,从而提升整个互联网的安全性。
- 灵活性:更短的证书可以让全网更快采用新协议 / 新算法、更安全的密钥、新的行业标准
- 后悔性:证书中包含大量信息,一旦配置错误将导致错误信息在互联网上存在数年之久
- 自动化:2025年以来,被90天证书逼的,青小蛙都把证书自动化了 😂
以及,还能降低 CA 运行成本,撤销证书更方便快速。
还有,应对未来的后量子密码学(PQC)。
总之,自动化就完事了。
参考:
在2025年1月份,Let’s Encrypt 就推出了有效期 6 天的 HTTPS 证书,并且支持 IP 地址。
