Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let'sEncrypt今天发布博客宣布已经签发了10份新的中级证书，这些新中级证书一方面是Let'sEncrypt的定期轮换保持安全性，另一方面则是缩小证书体积从而增强速度、安全性和可访问性等体验。YT5品论天涯网

本次签发的证书包含5份2048位的RSA证书，根证书为ISRGRootX1证书，这些新证书编号从R10~R14，是R3和R4中级证书的替代品。YT5品论天涯网

5份P-384位ECDSA证书，新证书编号从E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是ISRGRootX2，另一个是通过ISRGRootX1颁发或交叉签名。YT5品论天涯网

YT5品论天涯网

此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助WebKPI保持敏捷的发展。YT5品论天涯网

缩小体积方面，证书体积的大小影响了TLS连接时的性能(时间)，ISRGRootX2目前已经被大多数平台所信任，因此Let'sEncrypt可以提供相同选择的改进版本，即相较于此前的ECDSA链大小减少了1/3。YT5品论天涯网

如果开发者愿意选择新的ECDSA证书的话(ECC证书)，这可以进一步缩短TLS握手时的往返，降低延迟、提升体验。YT5品论天涯网

此外本次更新的证书还更改了主题密钥ID字段的计算方式，从此前的SHA-1更改为截断的SHA-256，这也是删除SHA-1算法的一种方式；从证书扩展策略中删除CPSOID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的TLS握手中节省很多带宽。YT5品论天涯网

博客地址：https://letsencrypt.org/2024/03/19/new-intermediate-certificates.htmlYT5品论天涯网

所有新证书：https://letsencrypt.org/certificates/YT5品论天涯网