Let’s Encrypt 表示,新启用的 Generation Y 架构由两张新的根证书(Root CA)和六张新的中级证书(Intermediate CA)构成,这些新证书经由过程现有的 Generation X 根证书 X1 和 X2 进行交叉签名,从而确保在今朝信赖 X1/X2 的情况中,新架构同样可以被信赖和应用。官方同时重申,其 TLS 客户端认证(TLS Client Authentication)将自 2026 年 2 月起开端终止,2026 年 5 月 13 日起,默认的经典 ACME 设备将切换为基于 Generation Y、且不再包含客户端认证功能的层级。对仍需过渡期的用户,Let’s Encrypt 供给 tlsclient 设备,可沿用现有的 Generation X 根证书至 2026 年 5 月之前。
在证书有效期方面,Let’s Encrypt 将按照 CA/浏览器论坛的基线请求,慢慢缩短证书生命周期。2026 年起将进入自愿“试水”阶段,早期采取者和测试用户可经由过程 tlsserver 设备选择 45 天有效期的证书。到 2027 年,体系会将默认证书有效期降至 64 天;再到 2028 年,默认有效期将进一步缩短至 45 天,届时短周期证书将成为常态。官方指出,缩短证书生命周期可以缩小进击时光窗口,更快速地推动暗码学算法更新,同时降低缺点签发等问题的经久影响。
Let’s Encrypt 在社区通知布告中表示,应用 tlsserver 和 short-lived 设备的用户,从本周起就会陆续收到基于 Generation Y 层级签发的证书。此次切换也意味着可选的短生命周期证书周全进入“广泛可用”阶段,并且参加了对在证书中直接包含 IP 地址的支撑,为部分应用处景供给了更灵活的安排方法。对依附 Let’s Encrypt 的网站运营方与办事供给商而言,将来几年须要慢慢适配更频繁的主动续期流程,以确保在安然性加强的同时,办事稳定性不受影响。
发表评论 取消回复