Let's Encrypt 宣布正式关闭其在线证书状态协议 (OCSP) 服务,转而完全依赖证书吊销列表 (CRL) 来发布吊销信息。此举旨在保护用户隐私,因为 OCSP 会泄露用户访问网站的 IP 地址信息。Let's Encrypt 此前已停止在证书中包含 OCSP URL 超过 90 天,所有包含 OCSP URL 的证书现已过期。关闭 OCSP 服务也简化了 Let's Encrypt 的 CA 基础设施,提高了效率和可靠性。在高峰时期,Let's Encrypt 的 OCSP 服务每月处理约 3400 亿次请求,感谢 Akamai 十年来对 OCSP 的 CDN 服务捐赠。
阅读更多
Let's Encrypt 宣布停止发送证书过期通知邮件,该服务于2025年6月4日终止。主要原因包括:用户已普遍采用自动化续期;存储数百万邮箱地址有隐私风险;维护成本高昂且增加系统复杂性。Let's Encrypt 建议用户使用第三方服务,例如 Red Sift Certificates Lite,来接收过期通知。Let's Encrypt 已删除 ACME API 提供的与证书发行数据关联的邮箱地址,但不会影响邮件列表订阅地址。未来,通过 ACME API 提供的邮箱地址将被转发到 ISRG 通用邮件列表系统,不会与任何帐户数据关联。
阅读更多
Let's Encrypt面临着“僵尸客户端”的困扰:大量失效或配置错误的服务器持续请求证书,耗费大量资源。为此,Let's Encrypt并未采取惩罚性措施,而是巧妙地引入了账户-主机名对暂停机制。该机制在连续验证失败次数超过阈值后,暂停相关账户对特定主机名的证书请求,同时提供自助恢复功能。数据显示,该方法有效降低了失败请求率,对正常用户几乎无影响,展现了Let's Encrypt在资源管理和用户体验方面的平衡之道。
阅读更多
Let's Encrypt 宣布将于2026年停止在其证书中包含“TLS 客户端认证”扩展密钥用法 (EKU)。此更改主要影响使用 Let's Encrypt 证书进行服务器身份验证的客户端。为确保平稳过渡,Let's Encrypt 将分阶段推出此更改,并提供过渡期的 ACME 配置文件。大多数网站用户无需采取任何行动。
阅读更多
Let's Encrypt 宣布将于 2025 年推出两种新的证书选项:6 天有效期的短生命周期证书和支持 IP 地址的证书。短生命周期证书显著提高安全性,因为它们减少了被利用的风险窗口。IP 地址支持允许通过 IP 地址访问的服务使用公共信任的证书建立安全的 TLS 连接。该计划分阶段实施,预计在 2025 年底全面推出。用户需要使用支持 ACME 证书配置文件的客户端来获取短生命周期证书。
阅读更多
Let's Encrypt是一个免费的证书颁发机构,旨在简化服务器证书的获取流程。它通过一键式流程为任何域名提供免费的基础服务器证书,并自动进行证书注册和续期。该项目由互联网安全研究小组 (ISRG) 推动,并得到了Mozilla、思科、Akamai等组织的支持,致力于实现普遍的、开放的互联网安全。Let's Encrypt 的核心原则是免费、自动化、安全、透明、开放和合作。
阅读更多
Let's Encrypt 宣布计划尽快终止在线证书状态协议 (OCSP) 支持,转而支持证书吊销列表 (CRL)。OCSP 会将访问者的 IP 地址暴露给证书颁发机构,存在隐私风险。CRL 则不存在这个问题,并且简化了 Let's Encrypt 的基础架构。Let's Encrypt 将在 Microsoft 根程序不再强制要求 OCSP 后的 3 到 6 个月内关闭 OCSP 服务。
阅读更多
Let's Encrypt是一个提供免费SSL/TLS证书的全球性证书颁发机构,其证书有效期为90天,推荐每60天自动续期。Let's Encrypt提供域名验证(DV)证书,但不提供组织验证(OV)或扩展验证(EV)证书。Let's Encrypt支持多域名证书和通配符证书,并鼓励用户使用Certbot等ACME客户端进行证书管理。
阅读更多
为了提高网络安全,Let's Encrypt 启动了 Prossimo 项目,旨在用内存安全的语言重写关键软件基础设施。最近,Let's Encrypt 部署了 Prossimo 项目的首个内存安全软件 ntpd-rs,这是一个用 Rust 语言编写的 NTP 实现,替代了之前使用 C/C++ 编写的版本。未来几年,Let's Encrypt 计划继续用 Rustls、Hickory、River 和 sudo-rs 等内存安全替代方案替换 OpenSSL、DNS 软件、Nginx 和 sudo 等软件。
阅读更多