為全球數(shù)以億計(jì)網(wǎng)站提供加密證書的非營利組織 Let’s Encrypt 日前宣布重大消息：從 2025 年 4 月開始該平臺(tái)將為 IT 管理員們提供 6 天的短期證書和 IP 地址證書。

目前能夠提供 IP 地址證書的 CA 機(jī)構(gòu)非常少并且多數(shù)都是要付費(fèi)的，此次 Let’s Encrypt 提供 IP 地址證書將破除現(xiàn)有 CA 的市場壟斷地位，為 IT 管理員提供新的免費(fèi)選項(xiàng)。

至于 6 天的短期數(shù)字證書則是基于安全性考慮的，說到這藍(lán)點(diǎn)網(wǎng)想起來此前蘋果提議將整個(gè) TLS 數(shù)字證書有效期從當(dāng)前的最長 384 天縮短到 45 天，從而提高安全性。

為什么短期證書能夠提高安全性：

數(shù)字證書本質(zhì)上就是經(jīng)過驗(yàn)證的哈希值，數(shù)字證書和對應(yīng)的私鑰 (同樣是哈希值) 都存在泄露風(fēng)險(xiǎn)，因此 CA / 瀏覽器論壇 (負(fù)責(zé)制定數(shù)字證書這類規(guī)定的行業(yè)論壇) 要求提供證書吊銷功能。

當(dāng)我們發(fā)現(xiàn)數(shù)字證書私鑰泄露時(shí)可以找到原申請的 CA 機(jī)構(gòu)進(jìn)行吊銷操作，吊銷流程完成后這份數(shù)字證書就會(huì)在聯(lián)網(wǎng)環(huán)境中失效無法再繼續(xù)驗(yàn)證。

但證書吊銷的效果并不好，其中很大一部分原因是 IT 管理員可能并不清楚私鑰已經(jīng)泄露，這導(dǎo)致不安全的數(shù)字證書繼續(xù)被使用直到過期后才徹底失效。

因此 Let’s Encrypt 認(rèn)為證書有效期越長其安全性也就越低，推出的 6 天短期數(shù)字證書可以解決這個(gè)問題，因?yàn)檫@類證書很快就會(huì)過期，IT 管理員不知道私鑰泄露也沒關(guān)系，過期后證書就作廢。

什么時(shí)候開始提供短期證書：

Let’s Encrypt 計(jì)劃從 2025 年 4 月開始為小部分用戶提供 6 天短期證書，這類證書依賴于自動(dòng)申請和續(xù)期流程，畢竟指望每 6 天就手動(dòng)更換證書是不現(xiàn)實(shí)的，IT 管理員必須完善自動(dòng)化流程后實(shí)現(xiàn)證書的自動(dòng)同步。

但短期證書也存在一些缺陷：

Let’s Encrypt 沒有計(jì)劃為短期證書提供 OCSP 和 CRL URL 查詢功能，為什么呢？如前文所說 Let’s Encrypt 認(rèn)為證書吊銷在歷史上是不可靠的，既然如此那這種短期證書就沒必要再提供 OCSP 查詢了。

目前還不清楚這種沒有 OCSP 和 CRL URL 的證書是否能在所有瀏覽器和舊版本上兼容，這個(gè) Let’s Encrypt 沒有提，但藍(lán)點(diǎn)網(wǎng)懷疑可能會(huì)在某些場景里出現(xiàn)兼容性問題導(dǎo)致無法驗(yàn)證。

最后是關(guān)于 IP 地址證書：

IP 地址證書短時(shí)間內(nèi)不會(huì)直接提供，預(yù)計(jì)要到短期證書普遍可用也就是在 2025 年年底時(shí)才提供 IP 地址證書，IP 地址證書僅支持 http-01 和 tls-alpn-01 驗(yàn)證，因?yàn)?DNS 不參與 IP 地址驗(yàn)證所以無法通過 DNS TXT 記錄的方式進(jìn)行驗(yàn)證。

另外鑒于 DNS 系統(tǒng)也不支持直接對 IP 地址進(jìn)行 CAA 記錄驗(yàn)證，所以當(dāng)申請 IP 地址證書時(shí)不會(huì)校驗(yàn) CAA 記錄 (CAA 記錄用于指定某個(gè)域名僅限于某個(gè) CA 頒發(fā)證書，其他 CA 不得為其頒發(fā)證書，這可以降低某些 CA 惡意頒發(fā)證書問題)。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/