首頁線上工具資訊安全

注意!Let's Encrypt 憑證期限從 90 天減半至 45 天,因應方法看這裡

注意!Let's Encrypt 憑證期限從 90 天減半至 45 天,因應方法看這裡

如果你的網站正在使用 Let's Encrypt 的免費 SSL 憑證,那這篇文章你一定要看。Let's Encrypt 宣布了一個重大變革:到 2028 年,憑證的有效期限將從現行的 90 天縮短至 45 天。聽起來很麻煩?別擔心,讓我們一起來看看這個改變的來龍去脈,以及你該如何因應。

為什麼要縮短憑證期限?

這不是 Let's Encrypt 自己的突發奇想。事實上,這是整個產業的趨勢,所有公開信任的憑證頒發機構(CA)都必須遵守 CA/Browser Forum 制定的基準要求。

縮短憑證有效期主要有兩個好處:

  • 提升安全性:憑證有效期越短,萬一私鑰外洩,攻擊者能利用的時間窗口就越小。這就像你的門禁卡有效期從三個月變成一個半月,即使遺失了,風險也相對降低。
  • 讓憑證撤銷更有效率:當憑證需要被撤銷時(例如發現安全問題),較短的有效期能讓問題更快自然解決,不需要依賴複雜的撤銷機制。

🔔 不錯過任何精彩! 立即訂閱我們的 LINE 官方帳號

每次發佈新文章時,您將會第一時間收到本站文章連結通知,輕鬆掌握最新資訊!

使用 LINE 追蹤文章更新

§相關文章,還可以參閱:

時程表:分三階段逐步實施

階段
實施日期
憑證效期
驗證重用期
關鍵變更
第一階段
2026 年
5 月 13 日
45 天
30 天
(不變)
  • 推出 tlsserver profile(選擇性參與)
  • 測試環境先行上線
第二階段
2027 年
2 月 10 日
64 天
10 天
  • 預設 classic profile 改為 64 天
  • 全面影響未指定 profile 者
第三階段
2028 年
2 月 16 日
45 天
7 小時
  • classic profile 全面切換至 45 天
  • 驗證重用期大幅縮短,強化安全性
💡 提示:所有變更將提前一個月於測試環境(staging)上線,建議搭配 ARI 與監控工具因應。

域名驗證重用期也跟著變短

除了憑證有效期,還有一個重要變更:授權重用期(Authorization Reuse Period)也會從目前的 30 天縮短至 7 小時。

這是什麼意思?簡單說,就是你驗證過域名控制權之後,可以在多久時間內「重複使用」這個驗證結果來申請憑證。以前可以用 30 天,未來只能用 7 小時。這意味著你需要更頻繁地證明你對域名的控制權。

你需要做什麼準備?

好消息是:大多數使用自動化更新的使用者不需要做任何改變。但你還是應該檢查以下幾點:

1. 確認你的自動化設定相容

如果你的 ACME 客戶端設定成「每 60 天更新一次」,那就有問題了——因為憑證只有 45 天效期。

最安全的做法是:在憑證生命週期的三分之二時進行更新。例如 45 天的憑證,應該在第 30 天左右更新。

2. 啟用 ARI(強烈建議)

ARI(ACME Renewal Information)是 Let's Encrypt 推出的功能,可以告訴你的客戶端「最佳的更新時機」。這比自己硬編碼更新間隔要聰明得多。

每個 ACME 客戶端啟用 ARI 的方式不同,建議查閱你使用的客戶端文件。如果你是客戶端開發者,Let's Encrypt 也提供了整合指南。

3. 設定監控機制

自動化很好,但你還是需要知道「自動化是否正常運作」。建議設定監控系統,當憑證沒有如期更新時能及時收到警報。Let's Encrypt 官方文件有列出一些監控工具選項供參考。

4. 避免手動更新

如果你還在手動更新憑證,現在是時候改用自動化了。45 天的有效期意味著你一年要手動更新 8 次,這實在太累人了。

好消息:DNS-PERSIST-01 驗證方式即將登場

對許多使用者來說,自動化憑證管理最麻煩的部分就是「證明域名控制權」。目前所有驗證方式都需要 ACME 客戶端能即時存取你的基礎設施——無論是提供 HTTP-01 token、執行 TLS-ALPN-01 握手,還是更新 DNS-01 TXT 記錄。

Let's Encrypt 正在與夥伴合作開發一個新的驗證方式:DNS-PERSIST-01

這個方法的最大優勢是:用來證明控制權的 DNS TXT 記錄不需要每次更新時都改變

這意味著什麼?你只需要設定一次 DNS 記錄,之後就可以自動更新憑證,不需要有辦法自動修改 DNS。這對很多人來說是個大福音,特別是那些 DNS 服務不容易自動化的使用者。

DNS-PERSIST-01 預計在 2026 年 推出,屆時會有更多細節公布。

ACME Profiles 讓你掌控更新時機

Let's Encrypt 透過 ACME Profiles 機制讓使用者能自己選擇要使用哪個階段的設定。目前有三種 profiles:

  • classic:預設選項,會跟著上述時程逐步更新
  • tlsserver:給早期採用者使用,提供 45 天憑證
  • shortlived:提供 6 天的短期憑證

你可以在 ACME 客戶端中設定要使用哪個 profile。

結語:自動化是王道

憑證期限縮短聽起來像是增加了管理負擔,但其實這是推動整個產業朝「完全自動化」前進的重要一步。手動管理憑證本來就不是長久之計,而這次的變革正是個好機會,讓你重新檢視並改善現有的憑證管理流程。

記得三個重點:

  1. 檢查你的自動化設定,確保更新頻率足夠
  2. 盡可能啟用 ARI,讓系統告訴你何時該更新
  3. 設定監控,確保一切運作正常

還有任何疑問嗎?Let's Encrypt 有活躍的社群論壇,也可以訂閱他們的技術更新郵件清單,掌握最新消息。

參考資料: