公益证书机构Let’sEncrypt宣布上线全新的“GenerationY(Y代)”证书层级架构,并规划在未来数年内分阶段将默认证书有效期缩短至45天,以进一步强化互联网加密通信安全。这一系列调整还包括弃用TLS客户端认证功能,以及将默认ACME配置切换至新的证书层级体系。
Let’sEncrypt表示,新启用的GenerationY架构由两张新的根证书(RootCA)和六张新的中级证书(IntermediateCA)组成,这些新证书通过现有的GenerationX根证书X1和X2进行交叉签名,从而确保在目前信任X1/X2的环境中,新架构同样可以被信任和使用。官方同时重申,其TLS客户端认证(TLSClientAuthentication)将自2026年2月起开始终止,2026年5月13日起,默认的经典ACME配置将切换为基于GenerationY、且不再包含客户端认证功能的层级。对仍需过渡期的用户,Let’sEncrypt提供tlsclient配置,可沿用现有的GenerationX根证书至2026年5月之前。
在证书有效期方面,Let’sEncrypt将依照CA/浏览器论坛的基线要求,逐步缩短证书生命周期。2026年起将进入自愿“试水”阶段,早期采用者和测试用户可通过tlsserver配置选择45天有效期的证书。到2027年,系统会将默认证书有效期降至64天;再到2028年,默认有效期将进一步缩短至45天,届时短周期证书将成为常态。官方指出,缩短证书生命周期可以缩小攻击时间窗口,更快速地推进密码学算法更新,同时降低错误签发等问题的长期影响。
Let’sEncrypt在社区公告中表示,使用tlsserver和short-lived配置的用户,从本周起就会陆续收到基于GenerationY层级签发的证书。此次切换也意味着可选的短生命周期证书全面进入“普遍可用”阶段,并且加入了对在证书中直接包含IP地址的支持,为部分使用场景提供了更灵活的部署方式。对依赖Let’sEncrypt的网站运营方与服务提供商而言,未来几年需要逐步适配更频繁的自动续期流程,以确保在安全性增强的同时,服务稳定性不受影响。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】