ADVERTISEMENT
全球知名的憑證頒發機構 Let's Encrypt 今日宣布,將於 2025 年推出兩項重大更新,旨在進一步提升網路安全性:六天效期憑證和 IP 位址支援。Let's Encrypt 是由網際網路安全研究小組 (ISRG) 提供的免費、自動化且開放的憑證頒發機構。Let's Encrypt 的使命是讓所有網站都能使用 HTTPS 進行安全加密連線,創造更安全、更隱私的網路環境。
六天效期憑證
Let's Encrypt 一直以來致力於讓網路更加安全,而縮短憑證有效期限是實現此目標的重要步驟。六天效期憑證將大幅縮短憑證遭盜用後的潛在風險窗口,有效降低網路攻擊的可能性。
過去 Let's Encrypt 憑證的效期為 90 天,現在將新增「六天效期憑證」的選項,讓使用者可以選擇更短的憑證有效期限。為什麼要縮短效期?因為當憑證的私鑰外洩時,即使撤銷憑證,在效期結束前,駭客仍然可能利用該憑證進行攻擊。六天效期憑證能大幅縮短這個風險窗口,提升安全性。為了配合六天效期,Let's Encrypt 也將推動憑證自動化更新,減少人工操作可能造成的疏失。
ADVERTISEMENT
「我們相信,更短的憑證有效期限,加上自動化更新機制,將能顯著提升 Web PKI 的安全性。」Let's Encrypt 執行長喬許‧艾斯(Josh Aas)表示,「這項更新將為使用者帶來更安全、更值得信賴的網路環境。」
支援 IP 位址的憑證
除了六天效期憑證外,Let's Encrypt 也將新增 IP 位址支援。這讓即使沒有網域名稱的服務,也能透過 Let's Encrypt 憑證建立安全的 TLS 連線,為更多元的網路應用場景提供保障。
IP位址的驗證方式與域名類似,但僅限於使用http-01和tls-alpn-01挑戰類型,因為DNS並不涉及IP位址的驗證。此外,針對IP位址的CAA記錄檢查目前尚無相應機制。
ADVERTISEMENT
時程規劃
Let's Encrypt 預計在 2 月份開始核發六天效期憑證,並在 4 月份開放給部分早期採用者。IP 位址支援功能將在稍後推出,預計在 2025 年底前,所有使用者都能享受到這兩項新功能帶來的安全性和便利性。
當短期證書功能開放後,用戶需使用支援ACME證書配置功能的ACME客戶端,選擇短期證書配置(具體名稱將於稍後公布)。一旦IP位址支援功能上線,申請將IP位址納入證書時,將自動選擇短期證書配置。
此舉象徵著網頁PKI安全邁向新階段,無論是縮短證書有效期,還是增加IP位址支援,都為用戶提供了更靈活且安全的選擇,進一步保障網路環境的安全性。
ADVERTISEMENT
- 延伸閱讀:FIDO聯盟發布安全憑證交換規範草案,推動跨平台憑證管理與Passkey,加速無密碼使用者自主權
- 延伸閱讀:如何註冊行動自然人憑證?
- 延伸閱讀:資安人員披露一場巨大的網路釣魚活動,佈局半年、超過 130 家公司受害、 9931 個登錄憑證被盜
- 資料來源:letsencrypt
ADVERTISEMENT