Let’s Encrypt 官宣：2028 年起，证书有效期将缩短至 45 天

Let’s Encrypt 发布重磅消息：计划在 2028 年前，将免费 SSL/TLS 证书的有效期从目前的 90 天缩短至 45 天。

当然，这并不是 Let’s Encrypt 一家在玩花活儿，而是整个行业在 CA/Browser Forum（证书颁发机构与浏览器论坛）制定的「基线要求」框架下的统一调整——所有主流证书颁发机构（CA）都将跟进这一变革。

从安全角度来看，缩短证书有效期能显著提升整个互联网的安全性。一方面，能有效压缩单张证书泄露后，可能造成的风险窗口；另一方面，也能促使证书吊销机制更高效地运转。

与此同时，域名所有权的「验证重用期」也将迎来重大调整：

• 目前：完成一次域名控制权验证后，用户可在 30 天内重复申请该域名的证书。
• 2028 年起：这个窗口期将被大幅压缩至 7 小时。

证书有效期改革时间线

为了最大限度降低对现有生产环境的冲击，Let’s Encrypt 将采用分阶段、可配置的方式推进改革。用户可以在 ACME 客户端中切换不同的「ACME Profiles」，自主控制新规的生效节奏：

• 2026 年 5 月 13 日：tlsserver ACME profile 将率先切换为颁发 45 天有效期证书。这是一个「主动加入」的选项，专为敢于尝鲜或需要提前适配的用户设计。
• 2027 年 2 月 10 日：默认的 classic ACME profile 将过渡至颁发 64 天有效期的证书，同时验证重用期缩短至 10 天。届时，所有未手动选择 tlsserver 或 shortlived（6 天）配置的用户，都将自动进入到此阶段。
• 2028 年 2 月 16 日：classic profile 将完成最终升级，全面启用 45 天证书有效期 + 7 小时验证重用期。

上述时间节点仅针对「新颁发」的证书，用户将在对应日期之后的下一个续签周期，才会实际体验到有效期的缩短变化。