全球領先的免費憑證發行機構 Let’s Encrypt 1/16 宣布,將於 2025 年引入兩項全新功能,進一步提升 Web PKI 的安全性:六日有效期的短期憑證("short-lived certificates")以及對 IP 位址的憑證支援。這些創新將與現有的 90 天長效憑證並行提供,讓使用者可透過 ACME API 的憑證設定機制選擇最適合的選項。
短期憑證:縮短潛在風險窗口,提升網路安全
短期憑證的最大優勢在於能有效縮短安全漏洞的風險窗口。一旦憑證的私密金鑰被洩露或出現其他問題,傳統建議是吊銷憑證以避免被繼續使用。然而,過往的憑證吊銷機制(如 OCSP 和 CRL)往往運作不佳,導致問題憑證可能持續有效直至過期。
透過將憑證有效期縮短至六日,Let’s Encrypt 能顯著減少因私密金鑰洩露所造成的影響。這些短期憑證不會包含 OCSP 或 CRL URL,進一步減少傳統吊銷機制的依賴。此外,由於短期憑證的快速過期特性,其幾乎必須依賴自動化的憑證簽發與續期,這對於增強安全性亦極為重要。
IP 位址支援:拓展憑證應用範圍
新功能同時允許在憑證的主體替代名稱(Subject Alternative Names, SANs)中包含 IP 位址。這將使服務提供者能夠使用受公信的 TLS 憑證,直接保護基於 IP 位址的連線,而無需依賴域名。
對於 IP 位址的驗證將類似於域名的驗證,僅支援 http-01 與 tls-alpn-01 驗證挑戰類型,但不包括 dns-01,因為驗證過程中不涉及 DNS。由於目前 DNS 並未提供適用於 IP 位址的 CAA 記錄查核機制,這些挑戰也無法適用。
時間表:2025 年逐步推出
- 2025 年 2 月:預計首先為內部測試發行有效的短期憑證。
- 2025 年 4 月:將短期憑證的選項開放給少數早期採用者測試。
- 2025 年底:預計全面推出短期憑證功能,並加入 IP 位址支援。
最初的短期憑證可能不支援 IP 位址,但在短期憑證普及前,Let’s Encrypt 將確保此功能完善實現。
如何獲取短期憑證與 IP 位址支援憑證
在短期憑證功能開放後,用戶需使用支援 ACME 憑證設定的客戶端,並選擇短期憑證設定(具體名稱將另行公布)。
一旦 IP 位址支援啟用,用戶在請求憑證時若指定 IP 位址,將自動選用短期憑證設定。
展望未來
Let’s Encrypt 建議用戶提前準備,確保 ACME 客戶端能可靠地自動續期憑證。一旦自動化機制運作順暢,用戶將能無縫切換至短期憑證,享受更高效能的網路安全保障。
有關更多詳情,請造訪 Let’s Encrypt 官方網站:Let’s Encrypt。
關於 Let’s Encrypt
Let’s Encrypt 是由 Internet Security Research Group (ISRG) 推動的公共服務,致力於提供免費、簡單且自動化的憑證簽發,協助全球網站實現 HTTPS 加密。