2025年12月2日,Let’s Encrypt宣布了一项重要的安全升级计划,旨在通过缩短TLS证书有效期并引入创新验证机制来全面提升互联网安全水平。根据该计划,Let’s Encrypt将从2028年2月16日起将TLS证书的标准有效期从当前的90天缩短至45天,同时同步推出全新的DNS-PERSIST-01持久验证机制。这一举措不仅符合CA/Browser Forum等行业权威机构提出的最新安全标准,更标志着SSL/TLS证书管理进入了一个更加动态和安全的时代。
此次改革将分三个阶段逐步实施。首先从2026年5月开始,Let’s Encrypt将开始支持45天的证书签发周期,为过渡期提供缓冲。接着在2027年2月,系统将默认将证书有效期调整为64天,进一步平稳过渡。最终于2028年全面实施45天的标准有效期,同时将域名授权重用期大幅缩短至7小时,确保持续的安全防护。值得注意的是,对于采用自动化管理的用户,这一变更无需进行任何设置调整,但Let’s Encrypt强烈建议启用ACME Renewal Information(ARI)功能,以便更好地适应更频繁的证书续期需求。
DNS-PERSIST-01作为本次改革的核心创新,预计将于2026年正式上线。这种全新的验证方式通过仅需一次DNS TXT记录设置,即可实现长期复用,极大地简化了自动化部署的复杂度。相比传统验证方式,DNS-PERSIST-01不仅显著降低了运维成本,更在安全性上实现了质的飞跃。这一变革将推动证书管理进入一个更加高效、安全的全新阶段,为全球数以亿计的网站提供更可靠的加密保护。随着互联网安全威胁日益复杂,Let’s Encrypt的这一前瞻性举措无疑将为构建更安全的数字世界奠定坚实基础。
