全球知名的免费证书颁发机构（CA）Let’s Encrypt 近日宣布了一系列重大技术更新，包括推出全新的“Y世代”（Generation Y）证书信任链、正式终止对 TLS 客户端认证（TLS Client Authentication）的支持，并启动一项长期计划 —— 将 TLS/SSL 证书的有效期从当前的 90 天进一步缩短至 45 天。这些举措旨在提升互联网整体安全水平、加速加密技术迭代，并更好地应对日益复杂的网络安全威胁。

Let’s Encrypt 的使命与十年演进

Let’s Encrypt 成立于 2015 年，由非营利组织 Internet Security Research Group（ISRG）运营，其初衷是消除传统 SSL/TLS 证书高昂成本与复杂申请流程所带来的障碍，推动全网 HTTPS 普及。十年来，它已为数亿网站免费签发了超过 30 亿张 自动化管理的数字证书，成为全球使用最广泛的 CA 之一。

如今，随着网络安全形势不断演变，Let’s Encrypt 决定通过架构升级和策略调整，进一步强化其安全模型。

“Y世代”证书体系

Let’s Encrypt 正式发布了名为 “Generation Y” 的全新证书信任层级结构。该体系包含：

2 个新的根证书颁发机构（Root CA）

6 个新的中间证书颁发机构（Intermediate CA）

这些新 CA 已通过 Let’s Encrypt 现有“X世代”（Generation X，即 ISRG Root X1 和 X2）进行交叉签名（cross-signing），确保所有当前信任 X 世代根证书的操作系统、浏览器和设备，也能无缝信任 Y 世代签发的证书，实现平滑过渡，不影响现有兼容性。

更重要的是，Y 世代架构为未来支持更先进的加密算法（如后量子密码学）和新型证书功能（如 IP 地址直接绑定）奠定了基础。

终止 TLS 客户端认证支持

Let’s Encrypt 同时宣布，将于 2026 年 2 月起正式停止对 TLS 客户端认证（Client Authentication）的支持。这一功能允许服务器验证客户端身份（如员工设备或 IoT 设备），但实际使用率极低，且增加了 CA 架构的复杂性与潜在风险。

具体时间线如下：

2026 年 5 月 13 日起：默认的 ACME 协议配置文件（tlsserver）将切换至 Y 世代体系，不再支持客户端认证。

在此之前，仍需使用客户端证书的用户可继续使用专用配置文件 tlsclient，该配置仍将绑定于 X 世代根证书，支持延续至 2026 年 5 月。

此举有助于简化证书签发逻辑，聚焦主流 Web 服务器场景的安全需求。

证书有效期将分阶段缩短至 45 天

为响应 CA/Browser Forum（CA/B 论坛） 提出的行业安全标准，Let’s Encrypt 将逐步缩短 TLS 证书的有效期，以减少因私钥泄露、错误签发或算法过时带来的“攻击窗口”。

具体实施路线图如下：

2025 年起（即日起） 启动 自愿试点阶段：用户可通过 tlsserver 配置文件主动申请 45 天有效期 的证书，用于测试自动化续期流程。

2027 年 默认证书有效期将从 90 天 缩短至 64 天。

2028 年 全面推行 45 天有效期 作为标准默认值。

Y 世代已上线，支持 IP 地址证书等新特性

值得注意的是，从本周起，使用 tlsserver 和 short-lived 配置文件的用户已经开始接收来自 Y 世代中间 CA 签发的证书。这也标志着 Let’s Encrypt 正式向公众开放 “短生命周期证书”（Short-Lived Certificates）的 opt-in（自愿加入）模式。

此外，Y 世代体系还首次全面支持在证书中包含公网 IP 地址（而不仅限于域名），这对于运行在无域名环境下的服务（如 IoT 设备、内部测试服务器）具有重要意义。

Let’s Encrypt 的此次升级不仅是技术架构的演进，更是对“安全应随时代进化”理念的践行。通过 Y 世代体系、淘汰过时功能、缩短证书寿命，Let’s Encrypt 正在为构建一个更敏捷、更安全、更自动化的互联网基础设施铺平道路。