原文: https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/
宣布 2025 年的六天和 IP 地址證書選項#
2025 年 1 月 16 日・Josh Aas
今年,我們將繼續履行提高 Web PKI 安全性的承諾,推出獲取有效期為六天的證書(“短期證書”)的選項。除了域名之外,我們還將增加對 IP 地址的支持。我們的長期證書(目前有效期為 90 天)將繼續與六天證書一起提供。訂閱者將能夠通過添加到我們的 ACME API 的證書配置文件機制選擇短期證書。
縮短證書有效期有利於安全#
當與證書關聯的私鑰被洩露時,建議始終撤銷證書,以便人們知道不要使用它。不幸的是,證書撤銷效果不佳。這意味著密鑰被洩露(或其他問題)的證書可能會繼續使用,直到過期。證書的有效期越長,使用有問題的證書的可能性就越大。
短期證書的主要優勢在於,它們可以大大縮短潛在的入侵窗口,因為它們的過期時間相對較短。這減少了證書吊銷的需要,而證書吊銷在歷史上是不可靠的。我們的六天證書將不包含 OCSP 或 CRL URL。此外,短期證書實際上需要自動化,我們認為自動化證書頒發對安全非常重要。
IP 地址支持,確保其他使用案例的安全#
我們將支持將 IP 地址作為主題備用名稱納入我們的六天證書中。這將使使用公眾信任的證書與通過 IP 地址提供的服務建立安全的 TLS 連接,而無需域名。
IP 地址驗證與域名驗證的工作原理大致相同,但驗證僅限於 http-01 和 tls-alpn-01 質詢類型。dns-01 質詢類型將不可用,因為 DNS 不參與驗證 IP 地址。此外,沒有檢查 IP 地址的 CAA 記錄的機制。
時間線#
我們預計在今年 2 月向自己頒發首批有效的短期證書。大約在 4 月,我們將為一小部分早期採用者啟用短期證書。我們希望在 2025 年底之前全面推出短期證書。
我們頒發的最早的短期證書可能不支持 IP 地址,但我們打算在短期證書普遍可用時啟用 IP 地址支持。
如何獲取六天證書和 IP 地址證書#
一旦短期證書成為您的選擇,您將需要使用支持 ACME 證書配置文件的 ACME 客戶端並選擇短期證書配置文件(其名稱將在稍後發布)。
一旦 IP 地址支持成為您的選擇,在證書中請求 IP 地址將自動選擇短期證書配置文件。
展望未來#
為充分利用短期證書做好準備的最佳方式是確保您的 ACME 客戶端能夠以自動化方式可靠地更新證書。如果一切順利,那麼切換到短期證書應該沒有任何成本。
如果您對我們的計劃有任何疑問或意見,請隨時在我們的社區論壇上告訴我們。
支持更安全、更尊重隱私的網絡。
捐
Let's Encrypt 是一個免費、自動化、開放的證書頒發機構,由非營利性互聯網安全研究小組 (ISRG) 提供。請閱讀我們的 2024 年度報告,了解我們今年的非營利工作。
548 Market St, PMB 77519 , 舊金山,CA 94104-5401 , 美國
將所有郵件或詢問發送至:
PO Box 18666 , 明尼阿波利斯,MN 55418-0666 , 美國