Let’s Encrypt 公佈了未來幾年的證書體系調整計劃，核心方向圍繞“更短有效期、更嚴格用途、更強自動化”。

首先，Let’s Encrypt 將啓用新一代證書信任層級 Generation Y，引入新的根證書和中級證書，用於承載後續的新功能與合規要求。對普通 HTTPS 網站而言，這一變化在 ACME 自動化流程中幾乎無感。

其次，TLS 客户端認證（Client Auth）將逐步被移除。新的證書將不再包含客户端認證用途，這意味着 Let’s Encrypt 未來不再適合用於 mTLS 等客户端身份驗證場景。官方提供的過渡方案只會持續到 2026 年 5 月，相關用户需要提前尋找替代 CA 或自建方案。

在證書有效期方面，Let’s Encrypt 將跟隨 CA/Browser Forum 的行業新規，持續縮短證書生命週期：

• 2026 年起提供可選的 45 天證書

• 2027 年默認有效期縮短至 64 天

• 2028 年進一步縮短至 45 天

這一變化對手動運維並不友好，但對已經使用自動化續期的用户影響有限。同時，Let’s Encrypt 還將支持短期證書以及 IP 地址證書，進一步強化自動化部署和雲原生、邊緣計算等場景的適配能力。