Let’s Encrypt 今天發布部落格宣布已經簽發了10 份新的中級證書，這些新中級證書一方面是Let’s Encrypt 的定期輪換保持安全性，另一方面則是縮小證書體積從而增強速度、安全性和可訪問性等體驗。

本次簽發的證書包含5 張2048 位元的RSA 證書，根證書為ISRG Root X1 證書，這些新證書編號從R10~R14，是R3 和R4 中級證書的替代品。

5 張P-384 位元ECDSA 證書，新證書編號從E5~E9，但根證書方面有所不同，這些證書都有兩個根證書版本，一個是ISRG Root X2，另一個是透過ISRG Root X1 頒發或交叉簽名。

此次更新的憑證只要包含兩個特點，即定期輪換和縮小體積，其中定期輪換目的主要是保持互聯網的敏捷性和安全性，縮小證書的生命週期、為給定密鑰類型隨機選擇頒發者意味著無法預測憑證從哪個中間憑證頒發，這也是防止中間金鑰固定幫助WebKPI 保持敏捷的發展。

在縮小體積方面，憑證體積的大小影響了TLS 連線時的效能(時間)，ISRG Root X2 目前已經被大多數平台所信任，因此Let’s Encrypt 可以提供相同選擇的改進版本，即相較於先前的ECDSA 鏈大小減少了1/3。

如果開發者願意選擇新的ECDSA 憑證的話(ECC 憑證)，這可以進一步縮短TLS 握手時的往返，降低延遲、提升體驗。

此外本次更新的憑證也更改了主題金鑰ID 欄位的計算方式，從先前的SHA-1 變更為截斷的SHA-256，這也是刪除SHA-1 演算法的一種方式；從憑證擴充策略中刪除CPS OID，這可以節省一些字節，雖然只有幾十個字節，但可以在每天數以億計的TLS 握手中節省很多頻寬。

部落格網址：https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html

所有新證書：https://letsencrypt.org/certificates/