Let's Encrypt六天短效TLS憑證與IP位址憑證正式上線

憑證機構Let's Encrypt宣布，短效憑證現已正式提供，一張憑證的有效期為160小時，略高於六天，並採選用方式啟用。Let's Encrypt也推出IP位址憑證，並規定IP位址憑證一律採短效憑證形式簽發。此新選項可縮短私鑰外洩或遭竊後的暴露時間，並延續Let's Encrypt未來數年把預設有效期逐步從90天降至45天的既定方向。

Let's Encrypt表示，推動短效憑證的主要理由，是縮短憑證遭濫用時的風險窗口。過往公開信任TLS憑證多採最長90天有效期，當私鑰外洩或被竊取時，傳統作法多仰賴憑證撤銷來降低衝擊，但撤銷在實務上常被認為不夠可靠，導致部分憑證依賴方仍可能在憑證到期前接受已受損的憑證。改採約六天的有效期後，即使撤銷未能即時生效，暴露時間也會因憑證較快到期而縮短。

不過，Let's Encrypt也強調短效憑證暫時不會成為預設值，原因在於各組織的自動化程度差異很大。對已把憑證申請與續期納入自動流程的組織而言，改用短效憑證相對可行，但對仍仰賴半手動更新的環境，六天有效期意味著更密集的維運節奏，也更需要監控與警示，降低憑證過期導致服務中斷的風險。

與短效憑證一起上線的IP位址憑證，讓伺服器可直接對IP位址建立TLS身分驗證，而不僅限於網域名稱，並支援IPv4與IPv6。Let's Encrypt指出，IP位址相較網域名稱更具流動性，因此IP位址憑證被規定必須採短效設計，以提高重新驗證的頻率，避免長時間綁定帶來的管理負擔與風險累積。

Let's Encrypt同時提到，短效憑證與IP位址憑證的研發，獲得開放科技基金與主權科技機構等單位支持，並由贊助商與捐款者共同協助發展。由於兩項功能皆採選用方式提供，多數仍以網域名稱發證且沿用既有有效期的使用者，短期內不必被迫調整。