https://letsencrypt.org/2025/12/02/from-90-to-45.html
从 2026 年 5 月 13 日起,使用 tlsserver 配置签发的证书有效期将只有 45 天
从 2027 年 2 月 10 日开始,classic 配置(包括没有指定配置时)签发的证书有效期将为 64 天
2028 年 2 月 16 日后所有签发的证书有效期将不超过 45 天
同时 IETF 和 CA/B 正在标准化一种新的 ACME 验证方法 DNS-PERSIST-01
https://www.ietf.org/archive/id/draft-sheurich-acme-dns-persist-01.html
使用 _validation-persist 作为前缀,例如 _validation-persist.domain.tld
值的第一部分是 CA 的 issuer-domain-names,比如 letsencrypt.org
第二部分是 ACME 的 Account URI
可选的第三部分是一些参数,包括
policy: 如果 policy=wildcard 表明允许签发该域名/子域的泛域名证书
persistUntil: 一个 UNIX 时间戳,表明该记录在其指定的时间后不再视为有效的授权
可以存在多条记录以授权多个 CA
最终效果例如
_validation-persist.domain.tld. 3600 IN TXT (
"letsencrypt.org;"
" accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/12345;"
" policy=wildcard"
)
这样就无需在每次验证 DCV 的时候都需要在 DNS 上添加临时记录
这意味着推进用户采用中心化的证书管理或者在每个设备上同步 ACME 用户私钥。之前看到一个 ACME 客户端居然在每次签发证书的时候创建一个新账户,实在是太离谱了
3 条回复 • 2025-12-03 15:41:04 +08:00
 |
1
snylonue 5 天前
好东西,不用到处塞 api token 了
|
 |
2
virusdefender 5 天前
我现在都用上了 Let's Encrypt 的七天证书了
|
 |
3
WuSiYu 4 天前
意思是 dns 验证之后可以变省事了?挺好
|
Select Language