Let's Encrypt证书有效期将缩至45天！

近日，免费证书颁发机构Let's Encrypt发布公告，计划到2028年将TLS证书有效期从当前的90天缩短至45天，减幅高达50%。

这一决定并非孤立事件，而是整个行业安全标准演进的一部分。

苹果、谷歌等浏览器厂商早已推动将证书有效期缩短至47天，而CA/Browser Forum也已通过相应提案。

这意味着，SSL证书管理的游戏规则正在发生根本性变化。

证书有效期缩短的时间表

Let's Encrypt并未采取“一刀切”的方式，而是制定了详细的过渡计划

• 2026年5月13日：用户可通过tlsserver配置选择45天有效期证书

• 2027年2月10日：默认classic配置有效期改为64天

• 2028年2月16日：全面实施45天有效期，域名授权重用期从30天大幅缩短至7小时

同时，为缓解频繁验证带来的压力，Let's Encrypt计划在2026年推出DNS-PERSIST-01持久验证方式，

只需一次性在DNS设置TXT记录，后续续期可长期复用，无需每次修改DNS。

为什么证书有效期越来越短？

安全考量是首要原因。短有效期证书意味着即使私钥泄露，攻击者能够利用的时间窗口也更小，从而降低风险。

证书寿命缩短也提高了吊销机制的效率，使整体网络安全生态更加健康。

行业驱动也是重要因素。

苹果、谷歌、微软和Mozilla等浏览器厂商一致支持缩短证书有效期，体现了行业对强化网络安全的共识。

不过，这种变化也带来了实际挑战。证书过期事件在众多大型企业甚至政府机构中屡见不鲜。

超过77%的企业在过去24个月中至少经历过两次因证书过期导致的“重大”中断。

面对45天有效期，我们该如何应对？

在证书有效期缩短至45天的背景下，自动化不再是一种选择，而是一种必需。手动管理证书的时代正在结束。

对于个人用户和小型项目，Certbot等传统工具仍然可行，但需要确保配置正确，建议启用ACME Renewal Information（ARI）机制，

让客户端自动判断最佳续期时间。

对于拥有多个域名和证书的用户，尤其是企业用户，需要更专业的证书管理方案。这时，集中化、可视化的证书管理平台显得尤为重要。

AllinSSL：一站式SSL证书管理解决方案

在这样的大背景下，开源免费的SSL证书全生命周期管理工具AllinSSL成为了一个值得关注的解决方案。

AllinSSL是一个集证书申请、管理、部署和监控于一体的开源平台，

支持Let's Encrypt、ZeroSSL、Google Trust Services等多种证书颁发机构。

主要功能特性

• 全生命周期管理：从证书申请、验证、部署到续期，实现端到端自动化

• 多平台部署支持：支持部署到CDN、WAF、宝塔面板、Nginx、Apache等各种环境

• 可视化监控：提供图形化界面监控证书状态和过期时间，支持多通道告警

• 灵活的工作流引擎：支持自定义证书管理流程，满足复杂场景需求

安装与使用

AllinSSL提供多种安装方式，最简单的是一键脚本安装：

curl -sSO http://download.allinssl.com/install_allinssl.sh && bash install_allinssl.sh allinssl

也支持Docker安装，适合各种环境部署。

安装完成后，可以通过Web界面直观地管理所有证书，设置自动化工作流，实现真正的“一次配置，”永久无忧”。

结语

SSL证书有效期的缩短是网络安全发展的必然趋势，它推动我们向更自动化、更安全的管理方式迈进。

面对这一变化，与其被动适应，不如主动拥抱。

像AllinSSL这样的自动化管理工具，不仅能帮助我们轻松应对45天有效期的挑战，更能提升整体网络安全水平。

在这个证书“短命”时代，自动化管理不再是一种选择，而是一种必需。