Let’s Encrypt推出Y世代证书层级包括新根证书/弃用TLS客户端验证/上线纯IP证书

免费数字证书提供商 Let’s Encrypt 日前发布博客宣布从 X 世代根证书体系过渡到 Y 时代证书层级，此次变更涉及到签发 2 个新的根证书 (ROOT CA) 和 6 个中级证书，新证书将由现有的 X 时代根证书 X1 和 X2 进行交叉签名。

Y 世代证书在客户端信任方面与 X 世代证书没有区别，即如果客户端能够正常兼容 X 世代的证书，则 Y 世代证书也可以正常受信任，除了部分老旧的安卓版本外，大多数现代系统版本都可以信任。

ACME 配置文件正在进行过渡性调整，到 2026 年 5 月 13 日配置文件将会默认切换到新的 Y 世代证书层级，但由于即将实施的根证书程序要求，新的中间证书不包含 TLS 客户端身份验证扩展密钥。

因此从 2026 年 2 月开始 Let’s Encrypt 将停止使用 TLS 客户端身份验证，遇到问题或者需要较长时间才能切换到 Y 世代证书的用户可以继续使用 tlsclient 配置文件直到 2026 年 5 月，之后必须启用新配置文件。

从本周开始部分用户将可以看到最新签发的 Y 世代证书，这也标志着 Let’s Encrypt 短周期证书正式上线，也包括到 IP 地址提供短周期证书，即不需要依赖域名也可以签发 TLS 数字证书。

缩短有效期问题此前蓝点网已经提过，根据行业组织 CA / 浏览器论坛的共识，未来数字证书有效期最长不超过 47 天，Let’s Encrypt 后续签发的证书有效期最长为 45 天，从 2026 年开始早期用户就可以通过配置文件选择 45 天的新证书。

到 2027 年 Let’s Encrypt 将所有签发的证书默认设置为最长 64 天有效期，到 2028 年将有效期缩短至 45 天，未来无论是 Let’s Encrypt 还是其他 CA 签发的证书最长有效期都将在 47 天以内。

更多相关技术内容咨询欢迎前往并持续关注好学星城论坛了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

0 条评论