Let’s Encrypt 将启用新一代证书信任层级 Generation Y

let’s encrypt 正式公布了未来数年的证书生态演进路线图，整体策略聚焦于三大关键词：更短的有效期、更精准的用途限定、更深度的自动化集成。

首先，Let’s Encrypt 将正式启用全新信任链体系 —— Generation Y（Y 代），该体系包含全新签发的根证书与中间证书，旨在支撑后续新增的安全特性、监管合规及技术升级需求。对于常规 HTTPS 网站用户而言，这一升级将完全透明，ACME 协议流程无需任何调整即可平滑过渡。

其次，客户端身份验证（Client Authentication）功能将被逐步淘汰。自新证书体系上线起，所有新签发证书均不再声明 clientAuth 扩展用途，即不再支持基于 TLS 的双向认证（mTLS）等依赖客户端证书的场景。官方已明确，现有 Client Auth 证书的兼容支持窗口期截止至 2026 年 5 月，相关使用者需在此之前完成迁移，转向其他商业 CA 或构建私有 PKI 解决方案。

在证书生命周期管理方面，Let’s Encrypt 将严格遵循 CA/Browser Forum 最新基线要求，分阶段压缩证书有效期：

• 自 2026 年起，开放可选的 45 天有效期证书；
• 到 2027 年，默认有效期将统一调整为 64 天；
• 至 2028 年，默认有效期将进一步收紧至 45 天。

该调整虽对人工维护模式构成挑战，但对已部署自动续订机制（如 Certbot、acme.sh 或云平台原生集成）的用户影响极小。此外，Let’s Encrypt 还将原生支持超短期证书（Ultra-Short-Lived Certificates） 及 IP 地址证书（IP SAN Certificates），显著增强其在动态容器环境、Serverless 架构与边缘节点等现代基础设施中的适用性与响应能力。

源码地址：点击下载