你告诉我Let's Encrypt就只剩45天了？

最近收到不少用户问：“听说Let's Encrypt证书要变45天有效期了？是不是马上就得频繁换证？”别急，今天咱们就把这事说清楚——45天有效期是2028年的计划，且会分阶段过渡，目前完全不用担心“突然失效”！

核心变更：2028年起证书有效期缩至45天

Let's Encrypt官方已明确：当前证书有效期为90天，到2028年将逐步调整为45天。这一改动并非“临时决定”，而是与CA/浏览器论坛的行业标准同步，所有公开可信CA都需跟进。缩短有效期主要有两方面考虑：一是限制潜在安全漏洞的影响范围，二是提升证书吊销机制的效率——更短的生命周期能让风险窗口更小。

此外，授权复用期（即验证域名控制权后允许为同一域名快速签发新证书的时长）也会同步缩短：目前是30天，2028年将压缩至仅7小时。这意味着未来域名控制权验证后，必须更频繁地重新确认，进一步强化域名所有权的安全性。（详见图1：Let's Encrypt证书有效期变更公告）

分阶段过渡：用户无需“紧急操作”

为降低影响，Let's Encrypt将通过ACME配置文件让用户自主控制变更节奏，且所有调整会先在测试环境验证，再逐步推送到生产环境。具体时间线如下：

• 2026年5月13日：可选启用tlsserver配置文件，支持签发45天有效期证书（适合想提前测试的用户）；
• 2027年2月10日：默认classic配置文件将签发64天有效期证书（附带10天授权复用期），未手动切换配置的用户会收到这个过渡方案；
• 2028年2月16日：classic配置文件最终更新为45天有效期+7小时授权复用期，所有未自定义配置的用户将按此执行。

简单来说，用户下次续期时才会看到变化，且完全可以通过调整ACME客户端配置灵活应对。（详见图2：Let's Encrypt证书变更分阶段时间线）

总结来说，45天有效期是2028年的长期规划，期间有近3年时间准备。普通用户无需恐慌，只需关注官方后续通知，按需调整配置即可。安全升级虽需适应，但从长远看，这一步能让互联网信任体系更稳固——毕竟，更短的证书周期，意味着更及时的风险阻断，最终受益的还是我们每一个网民。

（本文信息综合自Let's Encrypt官方公告，作者Matthew McPherrin，2025年12月2日发布）