Let‘s Encrypt 免费证书有效期缩短至45天|所有商业化证书有效期最长为47天

原创 于 2025-12-19 16:39:16 发布 · 287 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #服务器 #ssl #https

减少证书的有效期有助于提高 Internet 的安全性,限制泄露的范围,并使证书吊销技术更高效。因此行业制定了相关标准,即CA/浏览器论坛基线要求, 所有公开信任的证书颁发机构 (如Let’s Encrypt) 都将进行类似的更改。

Let’s Encrypt 公告 称将减少颁发的证书的有效期。目前签发的证书有效期为90天,到2028年将减半至45天。

Let’s Encrypt 计划

为减少影响,Let’s Encrypt 将分阶段实施此项变更。我们将通过 ACME 配置文件,让您能自主控制变更生效的时间。您可以在 ACME 客户端中进行配置。

以下生产环境生效日期前约一个月,变更将先行部署至我们的测试环境。

  • 2026年5月13日:Let’s Encrypt 将切换其 tlsserver ACME 配置文件,以签发 45天 有效期的证书。此配置文件为可选启用,可供先行测试者和早期采用者使用。
  • 2027年2月10日:Let’s Encrypt 将切换其默认的 classic ACME 配置文件,以签发 64天 有效期且授权重用期为 10天 的证书。这将影响所有未选择启用 tlsserver 或 shortlived(6天有效期)配置文件的用户。
  • 2028年2月16日:我们将进一步更新 classic 配置文件,以签发 45天 有效期且授权重用期为 7小时 的证书。

请注意:上述日期是新策略对新签发证书的生效起始日。因此,Let’s Encrypt 用户将在这些日期之后的下一次证书续期时,才会看到证书有效期的缩短。

授权重用期:指在签发新证书时,可以复用之前已完成的域名所有权验证(授权)结果的时间。缩短此周期(从10天降至7小时)是为了进一步提升安全性,意味着更频繁地验证域名的控制权。

行业标准

在 CA/浏览器基线要求中 6.3.2 证书操作周期和密钥对使用周期 对证书有效期进行了限制。

证书签发起始日(含当日)证书签发截止日(不含当日)不宜超过最长有效期
_2026年3月15日387天398天
2026年3月15日2027年3月15日199天200天
2027年3月15日2029年3月15日99天100天
2029年3月15日2031年3月15日46天47天

此规定旨在逐步缩短证书有效期,以提升网络安全性和密钥管理的灵活性。表中“最长有效期”为绝对上限(对应 MUST NOT 违反),而“不宜超过”的天数(SHOULD NOT)则是推荐的最佳实践,为时间计算留出缓冲余地。

博客
藏云阁HelmChart仓库|1万+应用,26万+Chart
09-30 1112
藏云阁HelmChart仓库汇聚了全球开源社区主流的HelmChart应用包,已经覆盖了**1万+应用,26万+Chart 包**。藏云阁HelmChart仓库具有以下特点:自动发现、合规审核、持续更新、国内高速,完全开放查询和下载使用。
博客
永久免费的HTTPS/TLS通配符域名合法证书申请很简单,不要再自签证书啦[最佳实践]
05-19 1682
​HTTPS保障数据传输安全当前的互联网中信息数据交换通过过网络传输,早期的 HTTP 协议在传输数据时是明文的,即数据包流过的链路上都可以抓取数据,并查看数据内容,甚至是修改数据内容,这是不安全。对数据在链路传输时进行加密,在日常访问网站域名地址时看到的 https://cncfstack.com 就是启动了 https,浏览器会提示“连接是安全的”。而且浏览器对于没有使用 https 的网站会提示安全风险,甚至直接限制用户访问。目前免费证书的CA厂商主要有 ZeroSSL 和 Let‘s E
博客
Kubernetes v1.35版本发布,十大重点确定性更新,v1.31版本停止维护
12-19 421
Kubernetes v1.35版本发布,本文梳理十大重点确定性更新,涉及退役功能,以及新增GA的功能。并且,v1.31版本结束支持也已经在 2025-11-11 停止维护。
博客
安全漏洞核弹|又一个CVSS10.0满分的安全漏洞爆发|我的服务被攻击了,拆解攻击过程
12-07 760
我收到阿里云ECS存在安全风险提示,是 `umami` 被攻击执行了异常内容。而这个漏洞却是因为上游 Nextjs 以及更上游的 React 存在漏洞导致的,CVSS评分10.0满分,这是一个可以比拟当年 Log4j 的安全核弹,影响涉及next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, 以及 rwsdk,等下游项目。
博客
Gitea企业级用法:容器化,SSO与对象存储
12-02 360
我关注Gitea轻量、快速、极易上手的特点,以及有活跃的中文社区。搭建了一个基于Gitea的代码仓库,并配置了SSO登录,对象存储,邮箱等。
博客
什么是SLA?几个9怎么定?如何提升SLA?怎么编写SLA?
11-24 927
本文提供了SLA的系统性的介绍,涉及如何计算SLA、几个九的目标怎么制定,如何提升系统SLA。并提供SLA编写建议,以及SLA协议模板
博客
不翻墙,基于Rancher极速启动Kubernetes,配置SSO登录,在线环境开放学习体验
11-24 792
本文提供Rancher和Kuberentes快速安装的步骤和国内镜像仓库,介绍单机原理,配置Keycloak提供SSO统一登录,并提供在线环境开放学习体验
博客
站在MySQL肩膀上快速入门PostgreSQL,开源社区最喜爱的关系数据库
11-10 323
本文提供最新的数据库排名资源,以及我为什么选择PostgreSQL,还有快速安装PostgreSQL,并与MySQL的语法对比快速理解入门PostgreSQL。
博客
构建内网离线的“github.com“,完美解决内网Go开发依赖
11-03 1089
本文提供了一种企业级的内网 Go 语言依赖拉取解决方案,可由运维人员统一维护服务,研发人员和CI/CD环境只需要3行配置即可实现内网 Go 开发自由。
博客
一张图了解HTTPS证书的CA、签发、校验和数据加密流程。详解OpenSSL自签证书,并封装自动化脚本
10-27 1014
本文从HTTPS证书的CA签发、域名申请、证书校验、数据加密切入,带你彻底看懂证书运作机制。自签证书实操教程与自动化Shell脚本,助你快速生成域名证书。文末还提供《HTTPS权威指南》电子书资源,带你深入PKI体系。
博客
藏云阁 Logo 库(开源项目SVG/PNG高清Logo)
08-01 528
在日常技术方案设计、架构图绘制或PPT制作中,常常会遇到一些问题。经过收集整理,在藏云阁官网发布了 「开源项目Logo库」(https://cncfstack.com/project-logo/) ,内含300+ 云原生项目矢量图标(SVG/PNG),彻底解决上述痛点!
博客
1.6万 Star 的流行容器云平台停止开源
08-01 2314
我身边就有不少朋友使用 KubeSphere 来管理他们的容器云集群,有人说它 页面 UI 好看,也有人说它 产品交互设计体验好,降低了 Kubernetes 的学习成本 等,当然也有一部分人因为他是国内厂商主导的(青云)开源项目,便于后续信创 而选择
博客
容器管理: 单机用Docker Compose,多机用Kubernetes
07-11 996
本文对比了Docker Compose和Kubernetes(k8s)两种容器编排工具的适用场景。Docker Compose适合单机环境,通过YAML配置文件简化多容器应用管理,具有资源占用少、配置简单、环境一致等优势,是开发测试和小规模部署的理想选择。Kubernetes则更适合多机生产环境,提供集群管理、弹性伸缩、负载均衡等能力,能有效应对高可用、高并发等需求。建议根据业务规模、技术能力和运维成本合理选择工具,避免过度设计或技术滞后,单机优先考虑Docker Compose,多机场景则推荐Kubern
博客
什么是Podman?能否替代Docker?Podman快速入门
07-11 1994
Podman(POD Manager)是一个开源的无守护进程(daemonless)容器引擎,用于管理容器、容器镜像、容器卷和网络。它兼容 OCI 标准,可以运行 Docker 镜像,并且设计上与 Docker CLI 命令高度兼容。
博客
国内软件源镜像站一览表(2025年状态更新)
06-05 3300
在“开源精神”的推动下,宣传自由软件的价值,提高自由软件社区文化氛围,国内很多企业和科研机构建立了免费开放的软件源镜像站,将国内的软件源同步到国内做镜像,以优化国内开发者更好的开源社区参与体验。
博客
2025年通用 Linux 服务器操作系统该如何选择?
05-30 2458
服务器操作系统的选择对一个企业IT和云服务影响很大,主推的操作系统在后期更换的成本很高,而且也有很大的迁移风险,所以企业在选择服务器操作系统时要尤为重视。根据本人近10年的运维、SRE、和架构师的历史经验,我认为服务器操作系统的选型可以通过以下几个维度进行评估:- 上云支持:是否满足云上云下的一致性,便于云下业务迁移上云。- 社区支持:是否具有生命力、社区是否活跃。- 本地化支持:是否对中文有良好的支持。- 安全稳定:是否能满足业务的安全、稳定运行的核心需求。
博客
无法访问Docker官网,国内如何合规高效安装Docker软件
05-26 1208
Docker的安装有很多种方式,比如基于源码安装、基于二进制文件安装、基于 get-docker.sh 安装、基于 YUM/DNF/APT 等软件包管理工具安装等等。 本最佳实践推荐以软件包管理工具的安装方式,其他安装方式各有特点,也都有其适合的应用场景,建议在入门后再进行深入探索。
博客
DockerHub被封禁,怎么将镜像传到国内?一种简单合规的镜像同步到国内方案[最佳实践]
05-20 1275
容器镜像本质还是对文件的一种组织管理方式,具有传播数据和信息的能力,因此对于其分发的文件内容需要符合地方的法律法规,在没有完成合规的要求前应该无法直接面向国内提供服务。鉴于DockerHub是绝对权威和全面的容器镜像托管平台,无法使用托管在该平台上优质的镜像,绝对是国内信息科技业的重大损失。
博客
国内在/离线安装Harbor容器镜像仓库,真的比想象中的简单[最佳实践]
05-20 1247
本文探讨了在云原生时代中容器镜像仓库的重要性及其选型方案,特别推荐了基于Harbor的私有镜像仓库解决方案。文章详细介绍了Harbor的两种主要安装部署方法:Docker Compose和基于Kubernetes的Helm Chart,并分享了在实际生产环境中使用Harbor的经验教训,如避免循环依赖问题。此外,文章还提供了Harbor的详细安装步骤,包括准备HTTPS证书、修改配置文件、执行安装等关键步骤,并强调了使用合法HTTPS证书的重要性。最后,文章提到了藏云阁计划,旨在构建一个云原生技术协同知识库
博客
SSH+GithubAction逆天的GitHub网站访问解决方案,还可以解决K8s和云VPC网络访问内部IP服务问题
05-19 1441
本文通过对 Github Action 运行机制进行分析,结合 SSH 的高阶使用姿势,以及个人多年的运维经验和工具,设计出一种稳定访问 Github 方案(该方案仅推荐访问Github站点用于开源协作和学习使用)。其他类似访问一个隔离网络中服务场景也可以解决,比如在 Kubernetes 集群中使用 Overlay 网络时,直接访问 POD IP 服务场景。在云平台的 VPC 网络环境中,直接访问私有IP节点上的服务场景。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值