Let's Encrypt 近日宣布了两项重要的新功能更新计划:六天有效期证书选项和IP地址证书支持,这些新功能将在2025年陆续推出。这一举措旨在进一步提升 Web PKI 的安全性,并为更多场景提供 SSL/TLS 证书支持。
六天有效期证书:提升安全性
新推出的六天有效期证书(简称"短期证书")将与现有的90天证书并行提供。这种更短的有效期能带来以下优势:
- 降低安全风险:当证书私钥遭到泄露时,较短的有效期可以大幅缩短潜在的危害窗口期
- 减少对证书吊销的依赖:短期证书自然过期的特性降低了对证书吊销机制的需求
- 促进自动化:短期证书实际上要求用户必须实现证书自动化更新,这也符合 Let's Encrypt 一直倡导的最佳实践
IP地址证书支持:扩展应用场景
除了短期证书外,Let's Encrypt 还将支持在六天有效期证书中包含 IP 地址作为主体备用名称(Subject Alternative Names)。这项功能将:
- 支持直接通过IP地址建立安全的TLS连接
- 无需域名即可获取受信任的证书
- 验证方式将支持 http-01 和 tls-alpn-01 两种方式
发布时间表
Let's Encrypt 计划按以下时间表推出新功能:
- 2025年2月:首批内部测试证书发布
- 2025年4月:向部分早期用户开放短期证书
- 2025年底:短期证书和IP地址支持全面开放
如何使用新功能
要使用这些新功能,用户需要:
- 确保使用支持 ACME 证书配置文件的客户端
- 选择短期证书配置文件(具体名称将在后期公布)
- 对于IP地址证书,系统将自动选择短期证书配置文件
准备工作建议
- 确保您的 ACME 客户端能够可靠地自动更新证书
- 测试和完善证书自动化更新流程
- 关注 Let's Encrypt 的后续公告获取更多技术细节