2025-04-07

47天:苹果公司提议的最新SSL证书有效期天数


20248月,苹果公司提议修改CA/浏览器论坛服务器证书工作组的SSL服务器证书基线要求。该提议概述了大幅缩短SSL证书有效期以及用于验证证书内信息的重用期的时间表。

这样的提议被称为“提案”,自其被提出以来,这一提案引发了大量讨论。该提案可能会随着讨论的继续而发生变化,但以下是我们迄今为止所了解到的情况。

图片


提案内容

苹果公司提议的变化将在未来几年逐步实施,既缩短证书的有效期也缩短验证重用期。以下是这些变化的详细信息。

SSL证书有效期的缩短

目前SSL证书的最长有效期为398天。

  • 2026315日起:有效期不应超过199天,并不得超过200天。


  • 自2027年3月15日起:有效期不应超过99天,并不得超过100天。


  • 2029315日起:有效期不应超过46天,并不得超过47天。


    验证重用期限制

验证重用期是指用于颁发证书的信息(包括组织身份和域名所有权)可被视为有效的期限。

  • 使用者身份信息(OVEV证书) 


  • 目前:验证重用期最长为825天。


  • 2026315日起:最长重用期缩短至398天。

这会影响组织验证(OV)和扩展验证(EV)SSL证书,这类证书的组织详细信息必须被更频繁地重新验证。

  • 域名与IP地址验证


  • 目前:重用期最长为398天。


  • 2026315日起:重用期不得超过200天。


  • 自2027年3月15日起:重用期不得超过100天。


  • 自2029年3月15日起:重用期不得超过10天。


这对SSL证书所有者而言意味着什么

给证书所有者的信息很明确:要立即开始为您的证书生命周期管理实现自动化。随着这些最新时间框架的生效,手动流程将不可持续,而且几乎肯定会导致停机。

若要保持领先,您的组织应该优先考虑实现以下领域的SSL自动化:

  • SSL证书请求


  • 使用者可选名称(通常是域名)的验证


  • SSL证书安装,以确保相关系统的可用性

DigiCert ONE平台提供所有这些开箱即用的功能,并支持ACME协议,即使在复杂的环境中也能简化自动化

图片

DigiCert® Trust Lifecycle Manager提供对证书使用、失效日期和CA分布的实时洞察,帮助您大规模管理数字信任。


现在正是做准备的时候

苹果公司提案中最引人注目的变化之一是DNSIP验证的最长重用期缩短。虽然到2029年该提议的证书有效期会降至47天,但DNS/IP验证的重用期将被限制在10天内,这是一个更为严格的时间窗口。

2029年听起来可能很遥远,但这些变化要求组织对管理证书的方式做出重大改变。现在正是开始为证书生命周期管理的各个方面实现自动化的时机,这样贵组织就能为此做好准备。

如果该提案被通过,这些缩短的有效期将成为DigiCert和所有其他公共证书颁发机构(CA)的强制性要求。但我们在此提供帮助——现在就与我们联系,开始根据您的需求量身定制解决方案。