免费的传输层安全性协议证书-Lets Encrypt
2020-08-22 16:04:43 
阿炯
Let's Encrypt是一个于2015年推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的传输层安全性协议(TLS)证书。免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。
Let's Encrypt由Internet Security Research Group 互联网安全研究小组(缩写为ISRG)提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日,ISRG与Linux基金会宣布合作。用以实现新的数字证书认证机构的协议被称为自动证书管理环境(ACME)。GitHub上有这一规范的草案,且提案的一个版本已作为一个Internet草案发布。以尽可能对用户友好的方式免费提供为网站启用 HTTPS(SSL/TLS)所需的数字证书,以要创建一个更安全,更尊重隐私的 Web 环境。
Let's Encrypt 提供域名验证型(DV)证书。不提供组织验证(OV)或扩展验证(EV),这主要是因为无法自动化地颁发这些类型的证书。
2015年6月,Let's Encrypt得到了一个存储在硬件安全模块中的离线的RSA根证书。这个由IdenTrust证书签发机构交叉签名的根证书,被用于签署两个证书。其中一个就是用于签发请求的证书,另一个则是保存在本地的证书,这个证书用于在上一个证书出问题时作备份证书之用。因为IdenTrust的CA根证书目前已被预置于主流浏览器中,所以Let's Encrypt签发的证书可以从项目开始时就被识别并接受,甚至在用户的浏览器中没有信任ISRG的根证书时也没问题。
Let's Encrypt的开发者们本计划在2015年年末推出签发ECDSA根证书的服务,但该计划已经经历三次推迟,目前定于2018年3月前完成。2017年6月,宣布将于2018年1月启用ACME v2 API,同年7月,宣布将于2018年1月支持通配符证书。
Let's Encrypt的关键原则为:
免费:任何拥有域名的人都可以使用 Let’s Encrypt 免费获取受信的证书。
自动化:运行于服务器上的软件可以与 Let’s Encrypt 直接交互,以便轻松获取证书,安全地配置它,并自动进行续期。
安全:Let's Encrypt 将成为一个推动 TLS 安全最佳实践发展的的平台,无论是作为一个证书颁发机构(CA)还是通过帮助网站运营商正确地保护其服务器。
透明:所有颁发或吊销的证书将被公开记录,供任何人查阅。
开放:自动颁发、续期证书的协议将作为其他人可以使用的开放标准发布。
乐于合作:就像互联网底层协议本身一样,Let’s Encrypt 是为了让整个互联网社区受益而做出的共同努力,它不受任何单一组织的控制。
官方提供有常见问题(FAQ)和中文文档参考。
创始人 Peter Eckersley 去世,享年 43 岁
Let's Encrypt 创始人之一 Peter Eckersley 于2022年9月2日在旧金山的 CPMC Davies 医院去世,具体原因不明。Let's Encrypt 是一个非营利性证书颁发机构,免费提供用于传输层安全(TLS)加密的证书。它是世界上最大的证书颁发机构,已被超过 2.76 亿个网站使用。
资料显示,Peter Eckersley 是一名澳大利亚计算机科学家、计算机安全研究员和活动家,2012 年在墨尔本大学获得计算机科学和法律博士学位。2006 年到 2018 年期间在电子前沿基金会 (Electronic Frontier Foundation,EFF) 工作,包括担任首席计算机科学家和人工智能政策负责人。
2018 年,他离开了 EFF,成为 AI 合作伙伴关系的研究主任,并担任该职位至 2020 年。2021 年,则与他人共同创立了 AI Objectives Institute,该研究所的构想是审视人工智能的价值和方向;他还曾是 OpenAI 的客座高级研究员。研究和政策工作侧重于包括预测性警务、自动驾驶汽车、网络安全和人工智能的军事用途等应用。在 EFF 工作期间,Peter Eckersley 启动了包括 Let's Encrypt、Privacy Badger、Certbot、HTTPS Everywhere、SSL Observatory 和 Panopticlick 在内的项目。Eckersley 是一位直言不讳的倡导者,主题包括互联网隐私、网络中立性和人工智能伦理。
Peter Eckersley 的核心活动重点之一是互联网隐私,他公开批评网络跟踪技术和使用这些技术的公司。2007 年,他批评 Facebook 的用户跟踪服务缺乏透明度,以及互联网服务提供商利用点对点网络的深度数据包检查来寻找版权侵权。还直言不讳地反对云主机供应商的集中化,特别是 AWS 的集中化,担心云供应商可能会被强迫调查用户的数据。
根据介绍,Peter Eckersley 是 EFF 对 Let's Encrypt 和 ACME 贡献的领导者,还在将 EFF、Mozilla 和密歇根大学的团队合并为一个团队和一个项目方面做出了很多贡献;后来担任了互联网安全研究小组的初始董事会成员。他在生活中是一名狂热的公路自行车手和浓缩咖啡鉴赏家,以其华丽的时尚感、对美丽建筑的欣赏以及举办派对和召集人群的才能而闻名。学术兴趣包括经济学和道德哲学,并在这些领域进行了积极的研究。作为 “Giving What We Can pledge” 的创始成员之一,Peter Eckersley 还承诺将收入的 10% 捐赠给慈善机构。
2028 年将其证书有效期从 90 天缩短到 45 天
Let's Encrypt 于2025年12上旬宣布将全面缩短 TLS/SSL 证书的有效期,从现有的 90 天调整为 45 天。这一变化将从 2028 年开始正式生效。同时域名验证的 “授权重用期” 也将从 30 天缩到 7 小时,意味着证书续期时几乎总会重新验证域名所有权。不过其强调,现代 ACME 客户端已实现高度自动化,因此绝大多数网站管理员无需额外操作,自动续期流程会继续正常运作。自动续期用户通常无需更改设置,但应确保续期计划兼容更短生命周期。建议启用 ACME Renewal Information(ARI)。
Let's Encrypt 将采用分阶段实施:
2026 年 5 月:推出可选使用 45 天有效期的配置文件供测试;
2027 年 2 月:默认证书有效期缩短至 64 天;
2028 年 2 月:全面切换为 45 天有效期。
官方还透露,计划在 2026 年引入新的 DNS-PERSIST-01 验证方式,可让用户一次性配置 DNS TXT 记录,之后自动续证无需再频繁手动更新 DNS。
缩短证书有效期可提升整体网络安全性,降低密钥泄露带来的风险窗口,也符合 CA/Browser Forum 的行业规范。对于依赖自动化证书管理的企业与开发者来说,大部分系统可无感过渡,但若仍在使用手写脚本或固定周期任务的用户,需尽早检查续期配置是否兼容更短生命周期。大多数拥有自动化证书签发流程的用户无需采取额外措施,但建议确认现有 ACME 客户端是否能应对更频繁的续期。官方推荐使用 ARI(ACME Renewal Information)机制,让客户端自动判断最佳续期时间。若所使用的客户端尚未支持 ARI,也应调整续期策略,例如在证书生命周期约三分之二处触发更新,而不再依赖固定的 60 天周期。
目前的 DNS-01、HTTP-01 和 TLS-ALPN-01 都需要对基础设施进行实时访问,而新的 DNS-PERSIST-01 允许设置一次 TXT 记录后长期使用,无需在每次续期时修改 DNS。这将大幅降低自动化门槛,预计将在 2026 年推出。随着更短的证书生命周期成为行业趋势,Let's Encrypt 通过更细化的过渡计划和新验证方式,试图为用户提供更安全且更易自动化的证书管理路径。
证书服务上线 10 周年记
Let’s Encrypt 于2025年12月上旬宣布证书服务已上线十周年。自 2015 年 9 月 14 日发布首张受信任的 TLS 证书以来,这个由 ISRG(Internet Security Research Group)运营的公益项目,其使命是通过免费、自动化 TLS/SSL 证书,让网页更容易启用 HTTPS,从而提升网络安全与隐私,目前已成为全球最重要的加密基础设施之一。十年间其证书发行量从最初的百万级跃升至如今的单日可发放近千万张证书,累计规模推动其覆盖接近十亿个活跃网站。这一爆炸式增长依托其 “免费 + 自动化” 的设计,也使 HTTPS 成为互联网的默认安全标准。
官方数据称,全球网页的 HTTPS 使用率已从十年前的不足 30% 提升到约 80%,美国等地区甚至长期维持在 95% 左右。剩余未加密流量多来自组织内部网或私有系统。
为应对指数级增长,Let’s Encrypt 十年间完成了多次基础设施演进:从获取并独立运营根证书,到支持通配符域名、短期证书、IP 证书,再到提升网络链路、扩展日志和数据库架构,以确保在高流量下保持稳定。其同时表示,“透明与自动化让证书看起来理所当然”,但这种 “隐形” 背后是持续的硬件投入、人力维护和资金压力。团队感谢社区、合作伙伴与赞助者的长期支持,也希望未来几年能继续获得资源,推动更安全的开放网络生态。
官方主页:https://letsencrypt.org/