公益证书机构 Let’s Encrypt 宣布上线全新的“Generation Y(Y 代)”证书层级架构,并规划在未来数年内分阶段将默认证书有效期缩短至 45 天,以进一步强化互联网加密通信安全。这一系列调整还包括弃用 TLS 客户端认证功能,以及将默认 ACME 配置切换至新的证书层级体系。
Let’s Encrypt 表示,新启用的 Generation Y 架构由两张新的根证书(Root CA)和六张新的中级证书(Intermediate CA)组成,这些新证书通过现有的 Generation X 根证书 X1 和 X2 进行交叉签名,从而确保在目前信任 X1/X2 的环境中,新架构同样可以被信任和使用。官方同时重申,其 TLS 客户端认证(TLS Client Authentication)将自 2026 年 2 月起开始终止,2026 年 5 月 13 日起,默认的经典 ACME 配置将切换为基于 Generation Y、且不再包含客户端认证功能的层级。对仍需过渡期的用户,Let’s Encrypt 提供 tlsclient 配置,可沿用现有的 Generation X 根证书至 2026 年 5 月之前。
在证书有效期方面,Let’s Encrypt 将依照 CA/浏览器论坛的基线要求,逐步缩短证书生命周期。2026 年起将进入自愿“试水”阶段,早期采用者和测试用户可通过 tlsserver 配置选择 45 天有效期的证书。到 2027 年,系统会将默认证书有效期降至 64 天;再到 2028 年,默认有效期将进一步缩短至 45 天,届时短周期证书将成为常态。官方指出,缩短证书生命周期可以缩小攻击时间窗口,更快速地推进密码学算法更新,同时降低错误签发等问题的长期影响。
Let’s Encrypt 在社区公告中表示,使用 tlsserver 和 short-lived 配置的用户,从本周起就会陆续收到基于 Generation Y 层级签发的证书。此次切换也意味着可选的短生命周期证书全面进入“普遍可用”阶段,并且加入了对在证书中直接包含 IP 地址的支持,为部分使用场景提供了更灵活的部署方式。对依赖 Let’s Encrypt 的网站运营方与服务提供商而言,未来几年需要逐步适配更频繁的自动续期流程,以确保在安全性增强的同时,服务稳定性不受影响。