Let’s Encrypt 公布了未来几年的证书体系调整计划，核心方向围绕“更短有效期、更严格用途、更强自动化”。

首先，Let’s Encrypt 将启用新一代证书信任层级 Generation Y，引入新的根证书和中级证书，用于承载后续的新功能与合规要求。对普通 HTTPS 网站而言，这一变化在 ACME 自动化流程中几乎无感。

其次，TLS 客户端认证（Client Auth）将逐步被移除。新的证书将不再包含客户端认证用途，这意味着 Let’s Encrypt 未来不再适合用于 mTLS 等客户端身份验证场景。官方提供的过渡方案只会持续到 2026 年 5 月，相关用户需要提前寻找替代 CA 或自建方案。

在证书有效期方面，Let’s Encrypt 将跟随 CA/Browser Forum 的行业新规，持续缩短证书生命周期：

• 2026 年起提供可选的 45 天证书

• 2027 年默认有效期缩短至 64 天

• 2028 年进一步缩短至 45 天

这一变化对手动运维并不友好，但对已经使用自动化续期的用户影响有限。同时，Let’s Encrypt 还将支持短期证书以及 IP 地址证书，进一步强化自动化部署和云原生、边缘计算等场景的适配能力。