2025-06-25

SSL证书有效期：2026年缩短至200天，2027年100天，2029年47天！

CA证书/浏览器论坛已正式表决修改SSL基线要求，以制定缩短SSL证书有效期和证书中的CA已验证信息重用期的时间表。本次表决将于2026年3月首次对用户造成影响。

各方在CA/浏览器论坛中对本次表决进行了长时间的辩论，表决经历了几个版本，其中纳入了证书颁发机构及其客户的反馈意见。表决期终止于2025年4月11日，结束了激烈辩论的环节，以使证书相关方开始为后续工作做计划。

47天有效期_副本.jpg

新的SSL证书有效期安排

本次表决聚焦于47天的SSL证书有效期，因此自动化至关重要。在苹果公司提出该提案之前，谷歌提出了最长有效期为90天的方案，但谷歌在表决开始后立即投票赞成苹果公司的提案。有效期安排如下：

SSL证书的最长有效期将被缩短：

自即日起至2026年3月15日，TLS证书的最长有效期为398天。
自2026年3月15日起，TLS证书的最长有效期为200天。
自2027年3月15日起，TLS证书的最长有效期为100天。
自2029年3月15日起，TLS证书的最长有效期为47天。

域名和IP地址验证信息的最长重用期将被缩短：

自即日起至2026年3月15日，域名验证信息的最长重用期为398天。
自2026年3月15日起，域名验证信息的最长重用期为200天。
自2027年3月15日起，域名验证信息的最长重用期为100天。
自2029年3月15日起，域名验证信息的最长重用期为10天。

自2026年3月15日起，使用者身份信息（SII）验证的重用期将从825天缩短至398天。SII是OV（组织验证）或EV（扩展验证）证书中的公司名称与其他信息，即除受证书保护的域名或IP地址之外的所有信息。这不影响没有SII的DV（域名验证）证书。

为什么是47天？

47天似乎是一个随意选择的数字，但它是一个简单的“级联”：

200天=最长的6个月（184天）+1/2个有30天的月份（15天）+1天的余地
100天=最长的3个月（92天）+~1/4个有30天的月份（7天）+1天的余地
47天=最长的1个月（31天）+1/2个有30天的月份（15天）+1天的余地

苹果公司对这一变化的解释

在表决中，苹果公司提出了许多支持这些举措的论点，其中一点最值得一提。苹果公司表示，多年以来，CA/B论坛一直在通过稳步缩短证书的最长有效期来告诉大家，自动化对于有效的证书生命周期管理而言必不可少。

本次表决指出，出于多种原因，缩短证书有效期是必要的，而其中最突出的是：随着时间的推移，证书中的信息越来越不可信，这个问题只有通过频繁地重新验证信息来解决。

本次表决还指出，使用CRL和OCSP的吊销系统不可靠。事实上，浏览器经常忽略这些功能。表决中有很长一段内容与证书吊销系统的失效相关。更短的证书有效期减轻了使用可能被吊销的证书的影响。2023年，CA/B论坛批准了7天内到期的短期证书，且这些证书不需要CRL或OCSP支持，从而将这一理念提升到了新的层面。

澄清对新规定的困惑

新规则里有两点可能会引起混淆：

规则发生变化的三年是2026年、2027年和2029年，但后两个年份相隔两年。

1.自2029年3月15日起，TLS证书的最长有效期为47天，但域名验证信息的最长重用期仅为10天。手动重新验证在技术上仍然是可能的，但是这样做会导致故障和停机。

2.作为证书颁发机构，客户反馈给我们的最常见的一个问题是，他们是否会因为更频繁地替换证书而被收取更多的费用。答案是否定的。费用基于年度订购，而且我们已经了解到，一旦用户采用自动化，他们通常会自愿选择更短的证书替换周期。

出于这个原因，而且2027年证书有效期缩短为100天就将使手动流程无法维持，因此我们预计自动化会在远早于2029年的时候被迅速采用。

苹果公司关于证书生命周期管理自动化的声明无可争议，但这是我们长期以来一直在做准备的事情。DigiCert通过Trust Lifecycle Manager和CertCentral提供多种自动化解决方案，包括对ACME的支持。DigiCert的ACME允许DV、OV和EV证书的自动化，并包括对ACME续订信息（ARI）的支持。

如您有任何疑问，请与我们联系，以了解SSL证书有效期调整及Digicert SSL证书自动化的更多信息。

下一篇：“性价比之王”通配符证书：小缺点隐藏大风险，如何规避？

SSL证书有效期：2026年缩短至200天，2027年100天，2029年47天！

相关新闻