Let’s Encrypt 证书有效期将缩至 45 天，运维天都塌了

近日，Let's Encrypt 官方正式发布公告，为了符合 CA/浏览器论坛（CA/Browser Forum）的最新基准要求，并将互联网安全性推向新高度，将逐步缩短其签发的 TLS/SSL 证书有效期。

目前的 90 天有效期，将在未来几年内逐步减半。到 2028 年，免费证书有效期将仅剩 45 天。

这并非 Let's Encrypt 一家的决定，而是整个行业的趋势。官方给出了3个借口理由

为了让运维人员适应这些变化，Let's Encrypt 给制定了详细的计划（Staging 环境会提前一个月生效）。

如果你的证书是全自动续期的，大部分用户可能不需要做太多改动，但为了避免未来可能会遭遇服务中断，还是需要仔细地检查。

很多旧的自动化脚本或 Cron Job 是硬编码的。例如，如果设置每 60 天运行一次 certbot renew，那么在 2028 年（甚至 2027 年），你的证书在续期前就已经过期了。

建议： 确保你的 ACME 客户端支持在证书生命周期的 2/3 处进行续期（即 45 天证书应在第 30 天左右续期）。

Let's Encrypt 推荐使用支持 ARI 的客户端。ARI 是一项新功能，能让服务器告知客户端「最佳的续期时间」，而不是依赖客户端自己猜测，这能有效避免续期拥堵和失败。

如果你的网站还在靠人工手动上传证书，这次变革将是噩梦。随着有效期缩短，手动操作的频率将翻倍，出错概率也会增加。

好消息是，Let's Encrypt 正与 IETF 和 CA/浏览器论坛合作，推动一种新的验证标准：DNS-PERSIST-01。

目前的 DNS-01 验证需要 ACME 客户端有权限动态修改 DNS 记录（添加 TXT 记录），这通常需要给脚本开放敏感的 API 权限，存在安全隐患，且依赖 DNS 服务商的 API 稳定性。
DNS-PERSIST-01 允许设置一个静态的 DNS TXT 记录。

这一新功能预计将在 2026 年 上线，届时将极大地简化自动化续期的配置难度。

虽然但是，ACME 策略在实际落地中可能会出现各种各样的问题。

环境脆弱性： 操作系统升级或 Python 环境变动，常导致 Certbot 等工具突然失效。
安全隐患： 为了自动通过 DNS 验证，通常需要在服务器上保存 DNS 服务商的高权限 API Key，这增加了服务器被攻陷后的连带风险。
复杂架构难题： 在 CDN、负载均衡或内网环境中，自动化分发证书的脚本编写难度极大，维护成本高昂。
新规冲击： 最要命的是，随着授权复用期缩短至 7 小时，续期对外部 API（如 DNS 提供商）稳定性的依赖度极高，任何一次网络抖动都可能导致续期失败。

如果不想花费精力去维护这些复杂的脚本，也不想每隔 45 天就担心一次证书是否更新成功，那花点钱买个 1 年期的商业证书或许是目前最省心的了。

近期，开发工具提供商 ServBay 上线了其资源商店，并提供了一项针对开发者的支持计划。

免费领取： 平台提供了 1000 张 1 年期 DV SSL 证书。基于 Certum 根证书，兼容性好，领取后配置一次即可管一年，无需任何自动化脚本。
低成本订阅： 如果需要多张证书，也可以单独购买，他们的定价可以说是非常顶了（单域名版 ¥29 /年，通配符版 ¥ 256 /年）。

如何获取：

对于追求稳定、希望减少运维干扰的个人开发者或中小团队，这不失为一个高性价比的 Plan B。

HTTPS 证书有效期的缩短是不可逆转的安全趋势。虽然 2028 年听起来还很遥远，但对于负责基础设施的运维人员来说，现在就开始检查自动化脚本的兼容性是必要的。