非營利憑證機構Let’s Encrypt將自2026年起分階段調整憑證發行與效期政策,重點包括導入新一代Generation Y根憑證與中繼CA階層,並逐步讓新簽發憑證不再包含TLS用戶端驗證的延伸金鑰用途(EKU),讓憑證用途更聚焦在TLS伺服器(tlsserver)驗證。同時也將依產業規範,逐步縮短憑證有效期。
官方指出,多數僅用於網站HTTPS的使用者預期不需採取行動,但要是曾將Let’s Encrypt憑證用於mTLS等用戶端身分驗證情境,則應提前盤點並調整。
Generation Y不是單指一張新憑證,而是一套新的簽發階層,包含2張新根憑證與6張新中繼CA。Let’s Encrypt說明,這套階層在2025年9月的儀式(Key Ceremony)中產生,接下來會逐步用來簽發憑證並送交各大根憑證信任計畫(Root Program)納入信任存放區。為了降低相容性風險,新根憑證也會由既有根憑證交叉簽發,在既有信任鏈仍可運作的環境下平順過渡。
Generation Y的特別之處在於用途切割,官方提到,新一代中繼CA不再包含TLS Web Client Authentication相關延伸金鑰用途,無法再簽發含clientAuth用途的終端憑證。也就是說,即使同樣是Let’s Encrypt簽出的憑證,未來會更明確地只對準TLS伺服器驗證用途,而不再同時涵蓋用戶端驗證用途。官方將以ACME簽發設定分流影響範圍,待TLS用戶端驗證用途退場後,再把新中繼CA擴大用於所有簽發。
依官方時程,2026年2月11日起預設憑證簽發設定(Classic Profile)新簽發的憑證將移除TLS Client Authentication EKU。需要更長緩衝期者可改用TLS用戶端驗證專用簽發設定,但該profile僅提供到2026年5月13日。至於Generation Y的導入,Let’s Encrypt表示初期將優先用於TLS伺服器與短效期憑證設定,並推進短效期憑證選項,包含在憑證中納入IP位址作為識別類型。
在效期方面,Let’s Encrypt規畫將憑證有效期從現行90天逐步縮短至45天。自2026年5月13日起,只要選用ACME的TLS 伺服器專用設定檔,新簽發憑證就會改為45天效期,供早期採用者與測試使用,2027年2月10日起,預設的設定檔新簽發憑證效期將降為64天,並在2028年2月16日再降為45天。
官方也提醒,這些日期是針對新簽發憑證生效,使用者通常會在下一次續期時才看到效期變短,效期縮短後自動化續期與監控也會更重要,建議及早確認既有憑證管理機制能因應更新頻率變化。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15