为全球数以亿计网站提供加密证书的非营利组织 Let’s Encrypt 日前宣布重大消息:从 2025 年 4 月开始该平台将为 IT 管理员们提供 6 天的短期证书和 IP 地址证书。目前能够提供 IP 地址证书的 CA 机构非常少并且多数都是要付费的,此次 Let’s Encrypt 提供 IP 地址证书将破除现有 CA 的市场垄断地位,为 IT 管理员提供新的免费选项。
至于 6 天的短期数字证书则是基于安全性考虑的,苹果曾提议将整个 TLS 数字证书有效期从当前的最长 384 天缩短到 45 天,从而提高安全性。
为什么短期证书能够提高安全性:
数字证书本质上就是经过验证的哈希值,数字证书和对应的私钥 (同样是哈希值) 都存在泄露风险,因此 CA / 浏览器论坛 (负责制定数字证书这类规定的行业论坛) 要求提供证书吊销功能。
当我们发现数字证书私钥泄露时可以找到原申请的 CA 机构进行吊销操作,吊销流程完成后这份数字证书就会在联网环境中失效无法再继续验证。
但证书吊销的效果并不好,其中很大一部分原因是 IT 管理员可能并不清楚私钥已经泄露,这导致不安全的数字证书继续被使用直到过期后才彻底失效。
因此 Let’s Encrypt 认为证书有效期越长其安全性也就越低,推出的 6 天短期数字证书可以解决这个问题,因为这类证书很快就会过期,IT 管理员不知道私钥泄露也没关系,过期后证书就作废。
什么时候开始提供短期证书:
Let’s Encrypt 计划从 2025 年 4 月开始为小部分用户提供 6 天短期证书,这类证书依赖于自动申请和续期流程,毕竟指望每 6 天就手动更换证书是不现实的,IT 管理员必须完善自动化流程后实现证书的自动同步。
但短期证书也存在一些缺陷:
Let’s Encrypt 没有计划为短期证书提供 OCSP 和 CRL URL 查询功能,为什么呢?如前文所说 Let’s Encrypt 认为证书吊销在历史上是不可靠的,既然如此那这种短期证书就没必要再提供 OCSP 查询了。
目前还不清楚这种没有 OCSP 和 CRL URL 的证书是否能在所有浏览器和旧版本上兼容,这个 Let’s Encrypt 没有提,但蓝点网怀疑可能会在某些场景里出现兼容性问题导致无法验证。
最后是关于 IP 地址证书:
IP 地址证书短时间内不会直接提供,预计要到短期证书普遍可用也就是在 2025 年年底时才提供 IP 地址证书,IP 地址证书仅支持 http-01 和 tls-alpn-01 验证,因为 DNS 不参与 IP 地址验证所以无法通过 DNS TXT 记录的方式进行验证。
另外鉴于 DNS 系统也不支持直接对 IP 地址进行 CAA 记录验证,所以当申请 IP 地址证书时不会校验 CAA 记录 (CAA 记录用于指定某个域名仅限于某个 CA 颁发证书,其他 CA 不得为其颁发证书,这可以降低某些 CA 恶意颁发证书问题)。
