HTTPS 证书生命周期缩短至 45 天：行业趋势、影响与准备指南

2025 年底，Let’s Encrypt 官方宣布将在 2028 年前将证书有效期从现行的 90 天缩短至 45 天。这一改变并非 Let’s Encrypt 独家决定，而是 CA/Browser Forum（CA/B Forum）在新版 Baseline Requirements 中对所有公开信任 CA 的统一要求。换言之，整个行业都将在未来几年逐步完成证书生命周期缩短。

本文将汇总官方公告、变更时间表、自动化难点，以及行业用户的真实反馈，帮助你理解这一趋势并提前做好准备。

为什么要缩短证书有效期？

根据官方文件，以及多位安全从业者的分析，证书有效期缩短主要基于以下三个原因：

1. 降低密钥泄露风险（安全性提升）

证书生命周期越短，私钥泄露后的攻击窗口越小。

评论补充观点（@LazyTourer）：
“如果 SSL 被攻破，在 45 天里能做的事情和在 90 天区别其实不大——关键是减少暴露时间。”

缩短有效期是减少密钥泄露影响范围的主流行业做法。

2. 让证书吊销机制更有效

历史上证书吊销机制（OCSP/CRL）因为难以依赖，被认为安全性有限。
而更短的生命周期能有效降低吊销失败带来的风险。

3. 行业监管要求（CA/B Forum 标准变化）

所有公开信任 CA（包括 DigiCert、Sectigo、Let’s Encrypt）都必须遵循统一的技术要求，因此这是行业性的趋势，而非单个机构的自主选择。

关键时间线：分三阶段完成

Let’s Encrypt 将通过 ACME Profiles 逐步上线不同期限的证书，减少用户一次性适配带来的冲击。

日期	变更内容
2026.05.13	tlsserver 配置文件将率先发行 45 天证书（供测试/早期采用者使用）
2027.02.10	默认证书有效期缩短至 64 天；域名授权复用期缩短至 10 天
2028.02.16	完整切换到 45 天有效期 与 7 小时授权复用期

注意，这些变更只影响新签发的证书，旧证书不会被强制提前失效。

缩短有效期后运维需要注意什么？

从官方与业内讨论来看，绝大多数已经自动化续期的用户 无需做大改动，但仍需检查自动化流程的兼容性。

1. 检查续期频率

一些旧脚本或 cron job 是“硬编码”的，例如每 60 天 renew 一次。

在 45 天生命周期下：

• 60 天续期将导致证书在续期前就过期

官方建议：
在证书生命周期的 2/3 时进行续期，即：

• 把 45 天证书视为第 30 天左右进行续期

2. 启用 ARI（ACME Renewal Information）

ARI 允许 CA 告知客户端“应该何时续期”，从而避免客户端自己乱猜。

评论参考观点（@t15_v、@Triassic 等）：
很多人表示只要自动续期配置得当，就几乎不会受到影响。

3. 尽量避免手动续期

随着有效期缩短，手动续期的频率将直接翻倍。
官方明确反对继续依赖手动上传证书。

评论补充（@ShonMiles）：
“不少系统仍需手动更新证书，这次变更会让维护工作变成噩梦。”

DNS-PERSIST-01：解决 DNS 自动化痛点的新方案

Let’s Encrypt 正与 IETF 合作，引入新的验证方式 DNS-PERSIST-01，预计将于 2026 年上线。

当前的 DNS-01 验证需要 ACME 客户端动态修改 TXT 记录，需要：

• DNS 商的 API 权限
• 暴露高权限密钥
• 依赖外部 API 稳定性

DNS-PERSIST-01 的改进：

• TXT 记录可以静态保持不变，不需要每次续期都改动
• 大幅降低 DNS 自动化的复杂度与安全隐患
• 减少对授权复用（Authorization Reuse）的依赖

自动化仍然不是“一劳永逸”

即便自动化已经成为主流，仍有现实中的挑战：

● 环境脆弱性

系统升级或 Python 环境变化常使 Certbot 等工具突然失效。

● 安全隐患

在服务器上保存高权限 DNS API Key 会提升被攻陷后的连带风险。

● 架构复杂度

在 CDN、负载均衡、多节点内网环境中自动分发证书脚本的维护成本很高。

评论补充观点（@g-omni）：
“cert-manager 提前 30 天续期，这意味着 45 天证书会每 15 天更新一次。”
—— 这类提前续期策略需要重新审视。

社区反馈：观点呈两极化

你提供的评论中，有一些有代表性的观点，整理如下（剔除情绪化与无价值内容）：

✔ 认为影响不大的用户

• “Traefik 会自动续期，不用操心。”（@sinha1342）
• “自动续期即可，不需要大惊小怪。”（多位用户）

✔ 担心影响现有系统的用户

• “很多系统需要手动更新证书，这会变成噩梦。”（@ShonMiles）
• “cert-manager 会提前 30 天续期，可能导致过于频繁的更新。”（@g-omni）

✔ 质疑有效期缩短意义的人

• “既然自动续期，为什么还需要有效期？”（@jozefizso）
• “商业 SSL 依然能买多年有效期，是否说明体系存在矛盾？”（@jlchavezGT）

✔ 来自安全从业者的观点

• “频繁漏洞事件显示更强的安全制度是迫切需要的。”（@Computer_Works_）

总体来看：
自动化做得好的用户几乎不受影响，自动化不足的团队则会迎来较大压力。

总结：提前准备比抱怨更重要

无论喜欢与否，证书生命周期缩短是行业趋势。
从 90 → 45 天的变化听起来跨度大，但合理的自动化配置足以吸收其影响。

如果你负责基础设施维护，现在应开始检查：

• 续期脚本是否依赖硬编码周期
• ACME 客户端是否支持 ARI
• DNS 验证是否能在未来使用 DNS-PERSIST-01
• 监控是否能及时提醒续期失败

更短的证书生命周期并非“灾难”，而是提升互联网基础安全水平的重要步骤。

---

如果你愿意，我可以继续为你：

✅ 制作同主题的 Markdown 博客排版优化版
✅ 生成一篇 更正式媒体风格的文章
✅ 单独整理“社交媒体评论与行业反应”栏目
✅ 生成适合公众号的精简版或可视化图示版本

只需告诉我你的用途和风格要求即可。