非营利证书机构Let’s Encrypt将自2026年起分阶段调整证书签发与有效期政策，重点包括引入新一代Generation Y根证书与中间CA层级，并逐步使新签发的证书不再包含TLS客户端验证的扩展密钥用途（EKU），使证书用途更聚焦于TLS服务器（tlsserver）验证。同时也将依据行业规范，逐步缩短证书有效期。

官方指出，多数仅用于网站HTTPS的用户无需采取任何行动，但若曾将Let’s Encrypt证书用于mTLS等客户端身份验证场景，则应提前盘点并调整。

Generation Y并非单指一张新证书，而是一套全新的签发层级，包含2张新根证书与6张新中间CA。Let’s Encrypt说明，这套层级已于2025年9月的密钥仪式中生成，接下来将逐步用于签发证书，并提交至各大根证书信任计划（Root Program）纳入信任库。为降低兼容性风险，新根证书也将由现有根证书交叉签名，确保在现有信任链仍可正常运行的环境中平稳过渡。

Generation Y的特别之处在于用途分离。官方表示，新一代中间CA不再包含TLS Web客户端认证相关的扩展密钥用途，无法再签发包含clientAuth用途的终端证书。也就是说，即使同样是Let’s Encrypt签发的证书，未来将更明确地仅用于TLS服务器验证，而不再同时涵盖客户端验证用途。官方将通过ACME签发配置进行分流，待TLS客户端验证用途完全退役后，再将新中间CA扩展用于所有签发。

根据官方时间表，自2026年2月11日起，默认签发配置（Classic Profile）下签发的新证书将移除TLS客户端认证EKU。如需更长的过渡期，可改用专用于TLS客户端验证的签发配置，但该配置仅提供至2026年5月13日。至于Generation Y的部署，Let’s Encrypt表示初期将优先用于TLS服务器与短有效期证书配置，并推进短有效期证书选项，包括在证书中纳入IP地址作为标识类型。

在有效期方面，Let’s Encrypt计划将证书有效期从现行的90天逐步缩短至45天。自2026年5月13日起，凡选用ACME的TLS服务器专用配置文件，新签发的证书将改为45天有效期，供早期采用者与测试使用；2027年2月10日起，默认配置下新签发证书有效期将降至64天，并于2028年2月16日进一步降至45天。

官方也提醒，这些日期仅针对新签发证书生效，用户通常将在下一次续期时才看到有效期缩短。有效期缩短后，自动化续期与监控将更加重要，建议尽早确认现有证书管理机制能否适应更新频率的变化。