主机圈「Let’s Encrypt」宣布在 2025 年推出 6 天和 IP 地址证书选项
今年,我们将继续履行提高 Web PKI 安全性的承诺,推出获取具有 6 天生命周期的证书(“短期证书”)的选项。除了域名之外,我们还将添加对 IP 地址的支持。我们有效期较长的证书目前的有效期为 90 天,将继续与我们的 6 天产品一起提供。订阅者将能够通过添加到 ACME API 的证书配置文件机制来选择使用短期证
书。
较短的证书生命周期有利于安全性
当与证书关联的私钥泄露时,建议始终是吊销证书,以便人们知道不要使用它。遗憾的是,证书吊销效果不佳。这意味着密钥被盗用(或其他问题)的证书可以继续使用,直到它们过期。证书的生存期越长,使用有问题的证书的可能性就越长。
短期证书的主要优点是,它们大大缩短了潜在的泄露窗口,因为它们的过期时间相对较快。这减少了对证书吊销的需求,而证书吊销在历史上是不可靠的。我们的六天证书将不包含 OCSP 或 CRL URL。此外,短期证书实际上需要自动化,我们认为自动颁发证书对于安全性非常重要。
用于保护其他用例的 IP 地址支持
我们将支持将 IP 地址作为主题备用名称包含在我们的六天证书中。这将启用具有公开信任证书的安全 TLS 连接,以连接到通过 IP 地址提供的服务,而无需域名。
IP 地址验证的工作方式与域名验证大致相同,但验证将仅限于 http-01 和 tls-alpn-01 质询类型。dns-01 质询类型将不可用,因为 DNS 不参与验证 IP 地址。此外,没有检查 IP 地址的 CAA 记录的机制。
时间线
我们预计将在今年 2 月向我们自己颁发第一批有效的短期证书。在 4 月左右,我们将为一小部分早期采用的订阅者启用短期证书。我们希望在 2025 年底之前正式提供短期证书。
我们颁发的最早的短期证书可能不支持 IP 地址,但我们打算在短期证书正式发布时启用 IP 地址支持。
如何获取 6 天证书和 IP 地址证书
一旦您可以选择短期证书,您将需要使用支持 ACME 证书配置文件的 ACME 客户端并选择短期证书配置文件(其名称将在以后发布)。
一旦您可以选择 IP 地址支持,在证书中请求 IP 地址将自动选择短期证书配置文件。
展望未来
准备利用短期证书的最佳方法是确保您的 ACME 客户端以自动方式可靠地续订证书。如果这运行良好,那么切换到短期证书应该不会产生任何费用。
如果您对我们的计划有任何疑问或意见,请随时在我们的社区论坛上告诉我们。
关于 Let’s Encrypt
Let’s Encrypt 是一家免费、开放、自动化的公益性证书颁发机构(CA), 由互联网安全研究组(ISRG)运作。