ITCOW牛新网 12月2日消息,免费证书颁发机构Let’s Encrypt今日宣布,将逐步缩短TLS证书有效期,最终于2028年全面调整为45天,较当前90天有效期减半。同步推出的DNS-PERSIST-01持久验证方案,允许用户通过一次性DNS配置实现长期免修改续期,旨在平衡安全强化与自动化管理便捷性。
据ITCOW牛新网了解,此项调整将分三阶段实施:
- 2026年5月13日:开放tlsserver配置选项,支持用户提前选用45天有效期证书;
- 2027年2月10日:默认classic配置有效期缩短至64天,域名授权重用期从30天减至10天;
- 2028年2月16日:全面实行45天有效期,授权重用期进一步压缩至7小时。
为降低频繁更新对用户的影响,Let’s Encrypt推出DNS-PERSIST-01验证机制。与传统DNS-01需每次续期修改记录不同,新方案仅需首次设置TXT记录即可长期复用,大幅简化自动化流程。同时,官方建议用户启用ACME Renewal Information(ARI)功能,以动态优化续期时间点;未支持ARI的客户端需调整策略,如在证书生命周期三分之二时触发更新。
分析认为,此举响应了CA/Browser Forum对证书短周期的行业安全要求,通过限制单证书有效期降低密钥泄露风险。DNS-PERSIST-01的引入则直面自动化部署痛点,尤其利好缺乏动态DNS控制权限的用户。