為全球數(shù)以億計(jì)網(wǎng)站提供加密證書(shū)的非營(yíng)利組織 Let’s Encrypt 日前宣布重大消息：從 2025 年 4 月開(kāi)始該平臺(tái)將為 IT 管理員們提供 6 天的短期證書(shū)和 IP 地址證書(shū)。

目前能夠提供 IP 地址證書(shū)的 CA 機(jī)構(gòu)非常少并且多數(shù)都是要付費(fèi)的，此次 Let’s Encrypt 提供 IP 地址證書(shū)將破除現(xiàn)有 CA 的市場(chǎng)壟斷地位，為 IT 管理員提供新的免費(fèi)選項(xiàng)。

至于 6 天的短期數(shù)字證書(shū)則是基于安全性考慮的，說(shuō)到這藍(lán)點(diǎn)網(wǎng)想起來(lái)此前蘋(píng)果提議將整個(gè) TLS 數(shù)字證書(shū)有效期從當(dāng)前的最長(zhǎng) 384 天縮短到 45 天，從而提高安全性。

為什么短期證書(shū)能夠提高安全性：

數(shù)字證書(shū)本質(zhì)上就是經(jīng)過(guò)驗(yàn)證的哈希值，數(shù)字證書(shū)和對(duì)應(yīng)的私鑰 (同樣是哈希值) 都存在泄露風(fēng)險(xiǎn)，因此 CA / 瀏覽器論壇 (負(fù)責(zé)制定數(shù)字證書(shū)這類規(guī)定的行業(yè)論壇) 要求提供證書(shū)吊銷(xiāo)功能。

當(dāng)我們發(fā)現(xiàn)數(shù)字證書(shū)私鑰泄露時(shí)可以找到原申請(qǐng)的 CA 機(jī)構(gòu)進(jìn)行吊銷(xiāo)操作，吊銷(xiāo)流程完成后這份數(shù)字證書(shū)就會(huì)在聯(lián)網(wǎng)環(huán)境中失效無(wú)法再繼續(xù)驗(yàn)證。

但證書(shū)吊銷(xiāo)的效果并不好，其中很大一部分原因是 IT 管理員可能并不清楚私鑰已經(jīng)泄露，這導(dǎo)致不安全的數(shù)字證書(shū)繼續(xù)被使用直到過(guò)期后才徹底失效。

因此 Let’s Encrypt 認(rèn)為證書(shū)有效期越長(zhǎng)其安全性也就越低，推出的 6 天短期數(shù)字證書(shū)可以解決這個(gè)問(wèn)題，因?yàn)檫@類證書(shū)很快就會(huì)過(guò)期，IT 管理員不知道私鑰泄露也沒(méi)關(guān)系，過(guò)期后證書(shū)就作廢。

什么時(shí)候開(kāi)始提供短期證書(shū)：

Let’s Encrypt 計(jì)劃從 2025 年 4 月開(kāi)始為小部分用戶提供 6 天短期證書(shū)，這類證書(shū)依賴于自動(dòng)申請(qǐng)和續(xù)期流程，畢竟指望每 6 天就手動(dòng)更換證書(shū)是不現(xiàn)實(shí)的，IT 管理員必須完善自動(dòng)化流程后實(shí)現(xiàn)證書(shū)的自動(dòng)同步。

但短期證書(shū)也存在一些缺陷：

Let’s Encrypt 沒(méi)有計(jì)劃為短期證書(shū)提供 OCSP 和 CRL URL 查詢功能，為什么呢？如前文所說(shuō) Let’s Encrypt 認(rèn)為證書(shū)吊銷(xiāo)在歷史上是不可靠的，既然如此那這種短期證書(shū)就沒(méi)必要再提供 OCSP 查詢了。

目前還不清楚這種沒(méi)有 OCSP 和 CRL URL 的證書(shū)是否能在所有瀏覽器和舊版本上兼容，這個(gè) Let’s Encrypt 沒(méi)有提，但藍(lán)點(diǎn)網(wǎng)懷疑可能會(huì)在某些場(chǎng)景里出現(xiàn)兼容性問(wèn)題導(dǎo)致無(wú)法驗(yàn)證。

最后是關(guān)于 IP 地址證書(shū)：

IP 地址證書(shū)短時(shí)間內(nèi)不會(huì)直接提供，預(yù)計(jì)要到短期證書(shū)普遍可用也就是在 2025 年年底時(shí)才提供 IP 地址證書(shū)，IP 地址證書(shū)僅支持 http-01 和 tls-alpn-01 驗(yàn)證，因?yàn)?DNS 不參與 IP 地址驗(yàn)證所以無(wú)法通過(guò) DNS TXT 記錄的方式進(jìn)行驗(yàn)證。

另外鑒于 DNS 系統(tǒng)也不支持直接對(duì) IP 地址進(jìn)行 CAA 記錄驗(yàn)證，所以當(dāng)申請(qǐng) IP 地址證書(shū)時(shí)不會(huì)校驗(yàn) CAA 記錄 (CAA 記錄用于指定某個(gè)域名僅限于某個(gè) CA 頒發(fā)證書(shū)，其他 CA 不得為其頒發(fā)證書(shū)，這可以降低某些 CA 惡意頒發(fā)證書(shū)問(wèn)題)。

關(guān)注公眾號(hào)：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/