為全球數以億計網站提供加密證書的非營利組織Let’s Encrypt 日前宣布重大消息：從2025 年4 月開始該平台將為IT 管理員提供6 天的短期證書和IP 位址證書。目前能夠提供IP 位址憑證的CA 機構非常少且多數都是要付費的，此次Let’s Encrypt 提供IP 位址憑證將破除現有CA 的市場壟斷地位，為IT 管理員提供新的免費選項。

至於6 天的短期數位憑證則是基於安全性考慮的，蘋果曾提議將整個TLS 數位憑證有效期從目前的最長384 天縮短到45 天，從而提高安全性。

為什麼短期證書能夠提高安全性：

數位憑證本質上就是經過驗證的哈希值，數位憑證和對應的私鑰(同樣是哈希值) 都存在洩漏風險，因此CA / 瀏覽器論壇(負責制定數位憑證這類規定的產業論壇) 要求提供憑證吊銷功能。

當我們發現數位憑證私鑰外洩時可以找到原申請的CA 機構進行撤銷操作，而吊銷流程完成後這份數位憑證就會在連網環境中失效無法再繼續驗證。

但憑證撤銷的效果並不好，其中很大一部分原因是IT 管理員可能不清楚私鑰已經洩露，這導致不安全的數位憑證繼續被使用直到過期後才徹底失效。

因此Let’s Encrypt 認為憑證有效期越長其安全性也就越低，推出的6 天短期數位憑證可以解決這個問題，因為這類憑證很快就會過期，IT 管理員不知道私鑰洩漏也沒關係，過期後證書就作廢。

什麼時候開始提供短期證書：

Let’s Encrypt 計劃從2025 年4 月開始為小部分用戶提供6 天短期證書，這類證書依賴於自動申請和續期流程，畢竟指望每6 天就手動更換證書是不現實的，IT 管理員必須完善自動化流程後實現證書的自動同步。

但短期證書也存在一些缺陷：

Let’s Encrypt 沒有計劃為短期憑證提供OCSP 和CRL URL 查詢功能，為什麼呢？如前文所說Let’s Encrypt 認為憑證撤銷在歷史上是不可靠的，既然如此那這種短期憑證就沒必要再提供OCSP 查詢了。

目前還不清楚這種沒有OCSP 和CRL URL 的憑證是否能在所有瀏覽器和舊版上相容，這個Let’s Encrypt 沒有提，但藍點網懷疑可能會在某些場景裡出現相容性問題導致無法驗證。

最後是關於IP 位址證書：

IP 位址證書短時間內不會直接提供，預計要到短期證書普遍可用也就是在2025 年年底時才提供IP 位址證書，IP 位址證書僅支援http-01 和tls-alpn-01 驗證，因為DNS 不參與IP 位址驗證所以無法透過DNS TXT 記錄的方式進行驗證。

另外鑑於DNS 系統也不支援直接對IP 位址進行CAA 記錄驗證，所以當申請IP 位址證書時不會校驗CAA 記錄(CAA 記錄用於指定某個網域名稱僅限於某個CA 核發證書，其他CA 不得為其頒發證書，這可以降低某些CA 惡意頒發證書問題)。