#行业资讯 Let's Encrypt 宣布基于 CA / 浏览器论坛要求将在 2028 年将证书有效期从 90 天缩短至 45 天，建议使用 Let's Encrypt 证书的用户提前做好应对准备。此前苹果提议将证书有效期从 398 天缩短至 45 天，后来经过讨论行业同意将证书缩短至最长 47 天，未来所有数字证书最长也就 47 天 (根证书等除外)。查看全文：https://ourl.co/111261

此前苹果公司向 CA / 浏览器论坛 (行业组织) 提出提议，建议基于安全考虑将数字证书有效期从 398 天缩短至 45 天，经过行业组织讨论后最终将数字证书有效期缩短至 47 天，也就是未来的数字证书最长只有 47 天 (根证书除外)。

日前免费数字证书提供商 Let’s Encrypt 宣布为符合 CA / 浏览器论坛的基线要求，将逐步缩短数字证书的有效期，最终到 2028 年 Let’s Encrypt 签发的数字证书有效期只有 45 天。

下面是具体的时间表：

从 2026 年 05 月 13 日开始：Let’s Encrypt 将把 tlsserver ACME 配置文件切换为颁发 45 天有效期，此阶段为可选仅供测试；

从 2027 年 02 月 10 日开始：默认的经典 ACME 配置文件切换为 64 天有效期，授权重用期为 10 天证书；

从 2028 年 02 月 16 日开始：默认的经典 ACME 配置文件切换为 45 天有效期，也就是未来所有签发的证书最长只有 45 天。

域名验证控制权限的重用期：

目前域名完成验证后可以在 30 天内申请并签发数字证书，到 2028 年域名经过验证后的有效期缩短至 7 小时，即超过 7 小时没有成功签发证书，则需要重新验证域名控制权后才能签发证书。

需要采取的行动：

大多数使用完全自动化申请、签发和部署的用户不需要进行更改，但用户应当验证自动化流程是否与有效期较短的证书兼容。

为了确保 ACME 客户端能够按时续期，建议用户使用 ACME 续期信息 (ARI)，这个新功能旨在帮助用户了解何时需要续期证书，具体用户可以查看 ACME 客户端的文档了解如何启用 ARI。

如果客户端不支持 ARI 则用户需要确保续订周期与 45 天有效期兼容，例如如果按照 60 天间隔续订证书则可能导致证书过期后未续订，可接受的做法是在当前证书有效期大约 2/3 时进行，也就是 45 天有效期的证书应当在 30 天左右开始申请续签。

另外 Let’s Encrypt 不建议用户手动续签证书，究其原因主要是证书有效期越短，续订频率就越高，用户忘记的可能性也会越大，这可能导致访问中断。