Let's Encrypt EKU 变更对 XMPP 服务器联邦互通的影响与应对策略

背景：Let's Encrypt 的证书策略变更

2026 年 2 月 11 日起，Let's Encrypt 正式调整其默认证书签发策略，移除 Extended Key Usage（EKU）扩展中的 "TLS Client Authentication" 用途，仅保留 "TLS Server Authentication"。这一变更源于 CA/Browser Forum 对证书用途规范化的推动，旨在明确区分服务器身份验证与客户端身份验证场景。然而，对于依赖 XMPP 协议（Extensible Messaging and Presence Protocol）的即时通讯网络而言，这一变更引发了意外的兼容性挑战。

XMPP 网络的核心理念是联邦化（federation）：不同域名下的服务器通过服务器对服务器（server-to-server, s2s）连接实现跨域消息传递。在 TLS 握手过程中，当一台 XMPP 服务器主动发起对另一台服务器的连接时，它在 TLS 协议层被视为 "client"，而目标服务器则是 "server"。根据传统 TLS 规范，"client" 应当验证对方证书是否包含 "TLS Client Authentication" EKU。Let's Encrypt 新证书的 EKU 变更，直接触发了这一验证逻辑的矛盾。

技术原理：EKU 验证与 XMPP s2s 连接

TLS 证书的 EKU 扩展用于限定证书的用途范围。在 XMPP s2s 场景中，当服务器 A 向服务器 B 发起连接时，A 作为 TLS client 会验证 B 提供的证书。如果 A 的 TLS 库严格执行 RFC 5280 规范，它会检查 B 的证书是否包含 "TLS Client Authentication" EKU—— 因为 A 正在以 "client" 身份进行连接。

Let's Encrypt 此前签发的证书同时包含 Server 和 Client Authentication 两种 EKU，因此从未暴露这一问题。但 2026 年 2 月后的新证书仅包含 Server Authentication EKU，导致严格执行 EKU 验证的服务器在发起 s2s 连接时，会将使用新证书的对方服务器判定为 "证书用途不匹配"，从而拒绝连接。

值得注意的是，这一问题并非 XMPP 协议本身的设计缺陷，而是 TLS 规范在 "服务器作为客户端发起连接" 这一场景下的语义模糊所致。IETF 曾尝试通过 draft-frank-mtls-via-serverauth-extension 草案澄清此问题，但未能达成共识。

影响范围评估

根据 Prosody IM 官方团队的测试结果，不同 XMPP 服务器软件对新证书的兼容性存在显著差异：

已兼容的服务器软件：

• Prosody：多年前已实现替代验证逻辑，可正确处理仅包含 Server Authentication EKU 的证书，无论连接由哪一方发起。
• Openfire：已确认兼容 server-only 证书。

需要升级的服务器软件：

• ejabberd：25.08 及更早版本存在 issue #4392，无法与使用新 Let's Encrypt 证书的服务器建立 s2s 连接，会报告 X509v3 证书用途不支持的错误。

未测试 / 未知状态：

• 其他小众 XMPP 服务器实现（如 Tigase、Metronome 等）尚未经过充分测试，可能存在类似兼容性问题。

对于运行不兼容版本的服务器管理员而言，若不及时升级，其服务器将无法与使用新 Let's Encrypt 证书的联邦节点通信，导致跨域消息传递失败。

缓解机制：Dialback 协议的作用

在 TLS 证书验证失败的情况下，XMPP 网络并非完全失去互连能力。XMPP 标准协议中的 Dialback 机制可作为回退认证方案。Dialback 通过 DNS 验证对方服务器的域名所有权，不依赖 TLS 证书中的 EKU 扩展。因此，即使证书验证失败，只要双方未禁用 Dialback 且目标服务器不强制要求严格证书验证，s2s 连接仍可能通过 Dialback 成功建立。

然而，Dialback 并非万能药。若任一方服务器禁用了 Dialback 支持，或目标服务器配置了 "仅允许有效证书连接" 的严格策略，连接将彻底失败。随着现代 XMPP 部署越来越倾向于禁用 Dialback 以提升安全性，依赖 Dialback 作为长期解决方案并不可靠。

自动化证书管理与零停机部署

除了 EKU 变更，Let's Encrypt 还计划将证书有效期从 90 天逐步缩短至 45 天（2026 年 5 月起可选，2028 年 2 月后默认）。这意味着 XMPP 运营商需要更频繁地执行证书续订和重载操作，手工管理已不现实。

ACME 客户端配置建议：

• 将证书续订检查频率从传统的 "每 60 天" 调整为 "每天" 或 "每周"，以适应 45 天有效期。
• 使用支持 ACME 协议最新特性的客户端（如 Certbot 2.x+、acme.sh、dehydrated）。

Deploy Hook 自动重载： 为避免证书更新后服务仍使用旧证书，需在 ACME 客户端配置 deploy hook，在证书成功续订后自动触发 XMPP 服务器重载：

# Prosody 示例
certbot renew --deploy-hook "prosodyctl reload"

# ejabberd 示例  
certbot renew --deploy-hook "ejabberdctl reload-config"

证书链完整性检查： 确保 XMPP 服务器配置加载完整的证书链（fullchain.pem），而非仅服务器证书（cert.pem）。不完整的证书链可能导致部分客户端无法验证证书信任路径，尤其在 Let's Encrypt 切换到新的 "Generation Y" 中间 CA 层级后（计划于 2026 年 5 月 13 日生效）。

监控与测试清单

兼容性测试： 向 le-tlsserver.badxmpp.eu 发送 XMPP ping（XEP-0199）。若收到成功响应，表明你的服务器已兼容 server-only 证书；若失败，需检查日志中的 s2s 连接错误。

日志监控： 关注以下错误模式：

• "unsupported certificate purpose"
• "Could not authenticate to remote server"
• X509v3 EKU 相关验证失败

证书有效期告警： 设置监控告警，在证书剩余有效期低于 14 天时触发通知，为自动续订失败预留人工干预时间窗口。

迁移建议与长期策略

对于 XMPP 服务器运营商，建议采取以下行动：

1. 立即升级：检查并升级至兼容 server-only 证书的软件版本（ejabberd 用户需关注 25.08 之后的修复版本）。

2. 测试环境验证：在测试环境中使用 Let's Encrypt 的 tlsserver ACME profile 签发证书，验证 s2s 连接是否正常。

3. 自动化优先：建立完整的证书自动化续订、部署、监控链路，消除人工操作环节。

4. 联邦兼容性监控：定期检查与主要联邦节点的连接状态，确保跨域通信畅通。

5. 备选 CA 方案：对于必须使用客户端证书认证的场景（如 SASL EXTERNAL 的双向 TLS 认证），考虑迁移至仍支持 Client Authentication EKU 的其他 CA（如 SSL.com），或部署内部私有 CA。

资料来源

• Prosody IM 官方博客：Upcoming changes to Let's Encrypt and how they affect operators (2026-02-06)
• Let's Encrypt 官方公告：Ending TLS Client Authentication Certificate Support in 2026 (2025-05-14)
• ejabberd GitHub Issue #4392：Inability to s2s on next generation letsencrypt certificates