重要公告:SSL证书有效期缩短至199天,请及时完成证书续订
根据CA/Browser Forum最新通过的提案 SC-081v3 要求,自2026年3月15日起,所有公开信任的SSL/TLS证书的有效期将逐步缩短,最长有效期将由398天调整为200天以内。这意味着,您目前使用的SSL证书将在未来续签或重签发时,有效期将缩短至199天。
为帮助您平稳过渡这一变化,现将主流CA品牌的调整策略及应对方案通知如下:
CA品牌 | 执行最长200天有效期时间 | 订阅模式 | 证书有效期 | 订单有效期 |
DigiCert | 2026.2.24 | 支持 | 199天 | 1-3年 |
GlobalSign | 2026.3.14 | 不支持 | 199天 | 两个199天,合计为1年 |
vTrus | 2026.3.13 | 支持 | 199天 | 1年(或395天) |
vTrus国密 | 不执行,仍为365天 | 不支持 | 365天 | 1年 |
为确保证书在199天有效期下仍能持续使用,我们建议您采用以下方式:
✅ 推荐方式:API自动重签发(安全性更高)
· 系统将监控“证书到期日”与“订单/订阅到期日”;
· 在证书到期前 14-30天(可自定义),系统将自动创建新密钥对,调用replace接口发起重签发;
· OV/EV证书多数域名可免验证,DV证书需重新完成域名验证;
· 当订阅剩余有效期不足30天时,系统将停止自动重签,需您手动续费。
⚠ 备选方式:使用旧CSR重签发(vTrus品牌不支持)
· 使用用户原有CSR发起重签发;
· OV/EV证书多数域名可免验证,DV证书需重新验证。
各品牌证书订阅签发动态:
1. DigiCert品牌动态
DigiCert旗下所有子品牌产品均已从2026.2.24日之后开始执行证书有效期最长199天策略。
· 产品均支持订阅模式,支持 1-3 年期的证书订阅。
· 在订阅期内系统支持签发多张 199 天的证书,支持 随时发起重签发 以获取有效期足够长的证书。重颁发默认签发 199 天的证书,当订阅服务剩余时长不足 199 天时,证书有效期到期时间将签发至订阅到期日。
· 首张199天证书到期前的30天内(建议可自定义证书自动重签发规则,将自动重签时间设置为可配置变量,推荐设置为14-30天。证书有效期后续续缩短至100天、47天时,可将变量值配置为7-14天),需API主动发起证书重签发。
· 当订阅剩余有效期不足30天时,停止执行API自动重签发,等待用户发起证书续费更新。
说明:Digicert品牌证书包含Geotrust、RapidSSL、Basic系列SSL证书
2. GlobalSign品牌动态
GlobalSign品牌从2026.3.14日之后开始执行证书有效期最长199天策略。
· 产品不支持订阅模式,第一个订单签发为199天,会收取1年期成本。第一张证书到期前的30天内,可发起一次免费的证书更新。订单有效期内重签发证书,证书到期日与该订单首次签发时的到期日相同。
· 如果不希望一次支付一年成本,接口还支持签发6个月的订单。可在API请求订单时,定义订单有效期为6个月(证书签发为180天,自定义有效期订单,成本为1年期成本 * 0.6)。
3. vTrus品牌动态
vTrus品牌从2026.3.13日之后开始执行证书有效期最长199天策略。
· 所有订单默认1年期,或395天订阅。
· 在订阅期内系统支持签发多张 199 天的证书,支持 随时发起重签发 以获取有效期足够长的证书。重颁发默认签发 199 天的证书,当订阅服务剩余时长不足 199 天时,证书有效期到期时间将签发至订阅到期日。
· 首张199天证书到期前的30天内(建议可自定义证书自动重签发规则,将自动重签时间设置为可配置变量,推荐设置为14-30天。证书有效期后续续缩短至100天、47天时,可将变量值配置为7-14天),需API主动发起证书重签发。
· 不支持使用旧的CSR做证书重签发。必须由API主动请求证书重签发延展证书有效期。
· 当订阅剩余有效期不足30天时,停止执行API自动重签发,等待用户发起证书续费更新。
4. vTrus国密品牌
vTrus国密算法SSL证书支持签发1年期,或最长395天有效期证书。不受CA/B论坛组织规范限制。
SSL证书重签发方案
1. API发起自动重签发(推荐,仅平台保存用户私钥,且私钥持续更新,安全性更高)
· 平台侧监控 “证书到期日”、“订单/订阅 到期日”参数
· 证书到期日≤30天(可自定义,当前推荐14-30天,2027年3月15号之后推荐7-14天)时,创建新的密钥对,调用replace重签发接口使用新的订单号及csr发起证书重签发。重签发时OV/EV订单多数域名可免验证,部分订单域名超过免验证期,可能触发域名重新验证。
· DV订单无域名免验证期,需要域名重新验证。
2. 天威侧使用旧的用户CSR发起自动重签发(vTrus品牌不支持)
· 天威侧使用旧的用户csr发起自动重签发。重签发时
· OV/EV订单多数域名可免验证,部分订单域名超过免验证期,可能触发域名重新验证。
· DV订单无域名免验证期,需要域名重新验证
天威诚信建议:
· 确认您当前使用的SSL证书品牌及到期时间;
· 评估是否具备API自动续签能力,如不具备,可选择天威诚信自动重签发方案;
· 使用天威诚信SSL证书自动化管理系统,接管您的SSL证书产品;
· 提前规划续费与重签流程,避免因证书过期影响业务访问;
· 如有国密SSL证书需求,仍可享受365天有效期政策。
如您有任何疑问,欢迎咨询:4006-555-883,竭诚为您服务!
