原文: https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/
宣布 2025 年的六天和 IP 地址证书选项#
2025 年 1 月 16 日・Josh Aas
今年,我们将继续履行提高 Web PKI 安全性的承诺,推出获取有效期为六天的证书(“短期证书”)的选项。除了域名之外,我们还将增加对 IP 地址的支持。我们的长期证书(目前有效期为 90 天)将继续与六天证书一起提供。订阅者将能够通过添加到我们的 ACME API 的证书配置文件机制选择短期证书。
缩短证书有效期有利于安全#
当与证书关联的私钥被泄露时,建议始终撤销证书,以便人们知道不要使用它。不幸的是,证书撤销效果不佳。这意味着密钥被泄露(或其他问题)的证书可能会继续使用,直到过期。证书的有效期越长,使用有问题的证书的可能性就越大。
短期证书的主要优势在于,它们可以大大缩短潜在的入侵窗口,因为它们的过期时间相对较短。这减少了证书吊销的需要,而证书吊销在历史上是不可靠的。我们的六天证书将不包含 OCSP 或 CRL URL。此外,短期证书实际上需要自动化,我们认为自动化证书颁发对安全非常重要。
IP 地址支持,确保其他使用案例的安全#
我们将支持将 IP 地址作为主题备用名称纳入我们的六天证书中。这将使使用公众信任的证书与通过 IP 地址提供的服务建立安全的 TLS 连接,而无需域名。
IP 地址验证与域名验证的工作原理大致相同,但验证仅限于 http-01 和 tls-alpn-01 质询类型。dns-01 质询类型将不可用,因为 DNS 不参与验证 IP 地址。此外,没有检查 IP 地址的 CAA 记录的机制。
时间线#
我们预计在今年 2 月向自己颁发首批有效的短期证书。大约在 4 月,我们将为一小部分早期采用者启用短期证书。我们希望在 2025 年底之前全面推出短期证书。
我们颁发的最早的短期证书可能不支持 IP 地址,但我们打算在短期证书普遍可用时启用 IP 地址支持。
如何获取六天证书和 IP 地址证书#
一旦短期证书成为您的选择,您将需要使用支持 ACME 证书配置文件的 ACME 客户端并选择短期证书配置文件(其名称将在稍后发布)。
一旦 IP 地址支持成为您的选择,在证书中请求 IP 地址将自动选择短期证书配置文件。
展望未来#
为充分利用短期证书做好准备的最佳方式是确保您的 ACME 客户端能够以自动化方式可靠地更新证书。如果一切顺利,那么切换到短期证书应该没有任何成本。
如果您对我们的计划有任何疑问或意见,请随时在我们的社区论坛上告诉我们。
支持更安全、更尊重隐私的网络。
捐
Let's Encrypt 是一个免费、自动化、开放的证书颁发机构,由非营利性互联网安全研究小组 (ISRG) 提供。请阅读我们的 2024 年度报告,了解我们今年的非营利工作。
548 Market St, PMB 77519 , 旧金山,CA 94104-5401 , 美国
将所有邮件或问询发送至:
PO Box 18666 , 明尼阿波利斯,MN 55418-0666 , 美国