Let's Encrypt 今天发布博客宣布已经签发了 10 份新的中级证书,这些新中级证书一方面是 Let's Encrypt 的定期轮换保持安全性,另一方面则是缩小证书体积从而增强速度、安全性和可访问性等体验。
本次签发的证书包含 5 份 2048 位的 RSA 证书,根证书为 ISRG Root X1 证书,这些新证书编号从 R10~R14,是 R3 和 R4 中级证书的替代品。
5 份 P-384 位 ECDSA 证书,新证书编号从 E5~E9,但根证书方面有所不同,这些证书都有两个根证书版本,一个是 ISRG Root X2,另一个是通过 ISRG Root X1 颁发或交叉签名。
此次更新的证书只要包含两个特点,即定期轮换和缩小体积,其中定期轮换目的主要是保持互联网的敏捷性和安全性,缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发,这也是防止中间密钥固定帮助 WebKPI 保持敏捷的发展。
缩小体积方面,证书体积的大小影响了 TLS 连接时的性能 (时间),ISRG Root X2 目前已经被大多数平台所信任,因此 Let's Encrypt 可以提供相同选择的改进版本,即相较于此前的 ECDSA 链大小减少了 1/3。
如果开发者愿意选择新的 ECDSA 证书的话 (ECC 证书),这可以进一步缩短 TLS 握手时的往返,降低延迟、提升体验。
此外本次更新的证书还更改了主题密钥 ID 字段的计算方式,从此前的 SHA-1 更改为截断的 SHA-256,这也是删除 SHA-1 算法的一种方式;从证书扩展策略中删除 CPS OID,这可以节省一些字节,虽然只有几十个字节,但可以在每天数以亿计的 TLS 握手中节省很多带宽。
博客地址:https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html