Let’s Encrypt 证书策略变更及其对 XMPP 服务器的影响

摘要

Let’s Encrypt 宣布自2026年2月11日起，仅颁发服务器身份验证证书，不再包含客户端身份验证用途。这一变更将影响 XMPP 服务器间的连接认证，因为 TLS 协议发起将连接的服务器视为客户端。Prosody 早已支持替代性证书验证机制，可正常接受新证书；但 ejabberd（需25.08+）和 Openfire 等其他实现需升级以确保联邦通信正常。

内容框架与概述

文章首先介绍了证书基础知识和 Let’s Encrypt 的变更背景。新证书移除客户端身份验证扩展后，传统 TLS 库（如 OpenSSL）可能拒绝使用此类证书的服务器间连接，因为协议规范将发起连接的服务器视为 TLS 客户端。

Prosody 早在多年前就已实现替代性证书验证逻辑，可正常处理服务器到服务器的连接认证。但这一做法在业界存在争议，未被纳入 IETF 标准，主要原因是浏览器厂商对非浏览器应用的证书使用持保守态度。

对于 XMPP 网络而言，ejabberd 和 Openfire 已发布兼容版本，运营者需及时升级。未更新的服务器若禁用 dialback 协议，将导致 s2s 连接完全失败。文章最后提供了测试服务器兼容性的方法。

核心概念及解读

服务器身份验证证书：仅用于证明服务器身份的证书，扩展密钥用途字段仅包含 serverAuth，不含 clientAuth。

客户端身份验证证书：用于证明客户端身份的证书，包含 clientAuth 扩展，常见于双向 TLS 认证场景。

服务器到服务器连接：XMPP 协议中不同域服务器之间的直接通信，TLS 层面将其视为客户端到服务器的连接模式。

s2s 联邦通信：不同 XMPP 服务器之间的消息互通功能，依赖证书验证或 dialback 机制实现身份认证。

原文信息

此摘要卡片由 AI 自动生成