#行业资讯 Let's Encrypt 推出 Y 世代证书层级，包括新的根证书、弃用 TLS 客户端身份验证和缩短有效期等。新的 Y 世代证书目前由 X 世代证书即 X1 和 X2 进行交叉签名，现有客户端都可以直接信任 Y 世代证书，从本周开始部分用户就可以看到签发的证书由 Y 世代根证书签署。查看全文：https://ourl.co/111361

免费数字证书提供商 Let’s Encrypt 日前发布博客宣布从 X 世代根证书体系过渡到 Y 时代证书层级，此次变更涉及到签发 2 个新的根证书 (ROOT CA) 和 6 个中级证书，新证书将由现有的 X 时代根证书 X1 和 X2 进行交叉签名。

Y 世代证书在客户端信任方面与 X 世代证书没有区别，即如果客户端能够正常兼容 X 世代的证书，则 Y 世代证书也可以正常受信任，除了部分老旧的安卓版本外，大多数现代系统版本都可以信任。

ACME 配置文件正在进行过渡性调整，到 2026 年 5 月 13 日配置文件将会默认切换到新的 Y 世代证书层级，但由于即将实施的根证书程序要求，新的中间证书不包含 TLS 客户端身份验证扩展密钥。

因此从 2026 年 2 月开始 Let’s Encrypt 将停止使用 TLS 客户端身份验证，遇到问题或者需要较长时间才能切换到 Y 世代证书的用户可以继续使用 tlsclient 配置文件直到 2026 年 5 月，之后必须启用新配置文件。

从本周开始部分用户将可以看到最新签发的 Y 世代证书，这也标志着 Let’s Encrypt 短周期证书正式上线，也包括到 IP 地址提供短周期证书，即不需要依赖域名也可以签发 TLS 数字证书。

缩短有效期问题此前蓝点网已经提过，根据行业组织 CA / 浏览器论坛的共识，未来数字证书有效期最长不超过 47 天，Let’s Encrypt 后续签发的证书有效期最长为 45 天，从 2026 年开始早期用户就可以通过配置文件选择 45 天的新证书。

到 2027 年 Let’s Encrypt 将所有签发的证书默认设置为最长 64 天有效期，到 2028 年将有效期缩短至 45 天，未来无论是 Let’s Encrypt 还是其他 CA 签发的证书最长有效期都将在 47 天以内。