Let's Encrypt即将推出有效期为六天的短期证书及对IP地址支持的ssl证书

Let's Encrypt 将推出以下重要更新目的是为了进一步提升 Web PKI 的安全性：除了现有的 90 天长期证书外，Let's Encrypt 将提供有效期仅为六天的证书选项。 新的六天证书将支持在证书中包含 IP 地址，这意味着可以为直接通过 IP 地址访问的服务创建安全的 TLS 连接。

Let's Encrypt 即将推出的有效期为六天的短期证书以及对 IP 地址的支持的重要更新的解读。

Let's Encrypt 推出六天短期证书的主要是为了提高安全性：

• 缩短入侵窗口： 如果与证书关联的私钥泄露，理想的做法是立即吊销证书。然而，证书吊销机制在实际应用中并不总是可靠有效。 证书有效期越长，即使密钥泄露，有问题的证书也可能被继续使用更久，从而增加风险。短期证书的核心优势在于，即使密钥泄露，其潜在的风险窗口也会大大缩短，因为证书很快就会过期失效。这降低了对证书吊销的依赖，而证书吊销一直以来都存在可靠性问题。
• 减少对证书吊销的需求： 由于短期证书的有效期极短，即使出现问题，证书很快也会自然过期，从而在很大程度上减少了对证书吊销的需求。
• 强制自动化： 短期证书实际上需要自动化的证书管理流程。Let's Encrypt 认为自动化证书颁发和更新对于保障安全至关重要。 短期证书的推出，将进一步推动用户采用自动化证书管理方案。
• 不包含 OCSP 或 CRL URL： 为了进一步简化流程并提高效率，六天证书将不再包含 OCSP (在线证书状态协议) 或 CRL(证书吊销列表) URL。 这意味着验证短期证书的有效性将更多依赖于其极短的有效期，而非传统的吊销机制。

IP 地址支持的意义

增加对 IP 地址的支持，意味着 Let's Encrypt 的证书将能应用于更多场景。 之前，Let's Encrypt 的证书主要用于域名。 现在，即使服务是通过 IP 地址直接提供的，例如某些 API 服务或者云环境中的应用，也可以使用公开信任的证书来建立安全的 TLS 连接，而无需必须拥有域名。IP 地址的验证方式与域名验证类似，但仅限于 http-01 和 tls-alpn-01 质询类型。 dns-01 质询类型将不可用，因为 DNS 系统不参与 IP 地址的验证。 另外，不会检查 IP 地址的 CAA 记录，因为 CAA 记录是用于域名证书授权的。

时间计划

Let's Encrypt 计划分阶段推出短期证书和 IP 地址支持：

• 2024年2月： 开始内部颁发首批有效的短期证书进行测试。
• 2024年4月（预计）： 为一小部分早期采用者开放短期证书的试用。
• 2025年底之前： 计划全面正式推出短期证书。
• 最早期的短期证书可能暂时不支持 IP 地址，但 Let's Encrypt 计划在短期证书普遍可用时同步或尽快启用 IP 地址支持。

如何获取六天证书和 IP 地址证书？

当短期证书可用时，用户需要使用支持 ACME 证书配置文件的 ACME 客户端，并选择短期证书配置文件（配置文件的具体名称将在稍后公布）。一旦 IP 地址支持上线，如果您在证书请求中包含 IP 地址，ACME 客户端将自动选择短期证书配置文件，为您颁发六天有效期的 IP 地址证书。

为未来做好准备

Let's Encrypt 建议用户为了充分利用短期证书带来的安全优势，最佳做法是确保您的 ACME 客户端能够以自动化方式可靠地更新证书。 如果您的证书更新流程已经实现了自动化，那么切换到短期证书应该不会带来额外的成本或复杂性。

对于Let's Encrypt 即将推出的有效期为六天的短期证书以及对 IP 地址的支持的重要更，这次更新意味着：

Let's Encrypt 将提供有效期更短的六天证书，以提升安全性。您可以选择使用六天证书或使用 90 天证书六天证书。这次Let's Encrypt 证书支持 IP 地址，扩展了应用范围。如果您希望使用短期证书或 IP 地址证书，请关注 Let's Encrypt 后续发布的关于 ACME 证书配置文件的信息，并确保您的 ACME 客户端支持相关功能。 同时，检查并完善您的证书自动化更新流程，以便平滑过渡到短期证书。

对于有证书需求的用户来说，技术门槛会原来越来高，TopSSL建议，如果你有ssl证书需求，还是购买低成本的证书吧，毕竟dv ssl证书的价格一年也没有多高，而且还省了更新的频次！

快速对接国际CA厂商，轻松实现SSL数字安全！