蓝点网
·
免费证书提供商Let’s Encrypt宣布将提供6天短期证书和IP证书 但也存在缺陷
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Let’s Encrypt 将于 2025 年 4 月推出 6 天短期证书和免费的 IP 地址证书,打破 CA 行业的付费垄断。短期证书通过快速过期提高安全性,降低泄露风险。IP 地址证书预计年底提供,支持特定验证方式。
🎯
关键要点
- Let's Encrypt 将于 2025 年 4 月推出 6 天短期证书和免费的 IP 地址证书。
- 6 天短期证书旨在提高安全性,快速过期降低泄露风险。
- 目前提供 IP 地址证书的 CA 机构很少且大多需付费,Let's Encrypt 的举措将打破这一垄断。
- 短期证书依赖于自动化流程,IT 管理员需完善自动申请和续期机制。
- Let's Encrypt 不计划为短期证书提供 OCSP 和 CRL URL 查询功能,认为证书吊销历史上不可靠。
- IP 地址证书预计在 2025 年年底提供,仅支持 http-01 和 tls-alpn-01 验证方式。
- 申请 IP 地址证书时不会校验 CAA 记录,因 DNS 系统不支持直接对 IP 地址进行验证。
❓
延伸问答
Let’s Encrypt 将在什么时候推出短期证书和IP地址证书?
Let’s Encrypt 计划在 2025 年 4 月推出 6 天短期证书,并预计在 2025 年年底提供 IP 地址证书。
6天短期证书的主要安全优势是什么?
6天短期证书通过快速过期降低了泄露风险,即使私钥泄露也不会造成太大影响。
Let’s Encrypt 提供的 IP 地址证书有什么特点?
IP 地址证书将是免费的,仅支持 http-01 和 tls-alpn-01 验证方式,并且不会校验 CAA 记录。
短期证书的申请和续期需要注意什么?
短期证书依赖于自动化流程,IT 管理员需要完善自动申请和续期机制,以避免手动操作。
Let’s Encrypt 为什么不提供短期证书的OCSP和CRL查询功能?
Let’s Encrypt 认为证书吊销历史上不可靠,因此不计划为短期证书提供 OCSP 和 CRL URL 查询功能。
使用短期证书可能会遇到哪些兼容性问题?
由于短期证书没有 OCSP 和 CRL URL,可能在某些浏览器和旧版本上出现兼容性问题,导致无法验证。
➡️
