CA證書/瀏覽器論壇已正式表決修改SSL基線要求，以制定縮短SSL證書有效期和證書中的CA已驗(yàn)證信息重用期的時(shí)間表。本次表決將于2026年3月首次對(duì)用戶造成影響。

各方在CA/瀏覽器論壇中對(duì)本次表決進(jìn)行了長(zhǎng)時(shí)間的辯論，表決經(jīng)歷了幾個(gè)版本，其中納入了證書頒發(fā)機(jī)構(gòu)及其客戶的反饋意見(jiàn)。表決期終止于2025年4月11日，結(jié)束了激烈辯論的環(huán)節(jié)，以使證書相關(guān)方開(kāi)始為后續(xù)工作做計(jì)劃。

新的SSL證書有效期安排

本次表決聚焦于47天的SSL證書有效期，因此自動(dòng)化至關(guān)重要。在蘋果公司提出該提案之前，谷歌提出了最長(zhǎng)有效期為90天的方案，但谷歌在表決開(kāi)始后立即投票贊成蘋果公司的提案。有效期安排如下：

• SSL證書的最長(zhǎng)有效期將被縮短：

• 自即日起至2026年3月15日，TLS證書的最長(zhǎng)有效期為398天。

  
  

• 自2026年3月15日起，TLS證書的最長(zhǎng)有效期為200天。

  
  

• 自2027年3月15日起，TLS證書的最長(zhǎng)有效期為100天。

  
  

• 自2029年3月15日起，TLS證書的最長(zhǎng)有效期為47天。

• 域名和IP地址驗(yàn)證信息的最長(zhǎng)重用期將被縮短：

  
  

• 自即日起至2026年3月15日，域名驗(yàn)證信息的最長(zhǎng)重用期為398天。

  
  

• 自2026年3月15日起，域名驗(yàn)證信息的最長(zhǎng)重用期為200天。

  
  

• 自2027年3月15日起，域名驗(yàn)證信息的最長(zhǎng)重用期為100天。

  
  

• 自2029年3月15日起，域名驗(yàn)證信息的最長(zhǎng)重用期為10天。

• 自2026年3月15日起，使用者身份信息（SII）驗(yàn)證的重用期將從825天縮短至398天。SII是OV（組織驗(yàn)證）或EV（擴(kuò)展驗(yàn)證）證書中的公司名稱與其他信息，即除受證書保護(hù)的域名或IP地址之外的所有信息。這不影響沒(méi)有SII的DV（域名驗(yàn)證）證書。

為什么是47天？

47天似乎是一個(gè)隨意選擇的數(shù)字，但它是一個(gè)簡(jiǎn)單的“級(jí)聯(lián)”：

• 200天=最長(zhǎng)的6個(gè)月（184天）+1/2個(gè)有30天的月份（15天）+1天的余地

  
  

• 100天=最長(zhǎng)的3個(gè)月（92天）+~1/4個(gè)有30天的月份（7天）+1天的余地

  
  

• 47天=最長(zhǎng)的1個(gè)月（31天）+1/2個(gè)有30天的月份（15天）+1天的余地

蘋果公司對(duì)這一變化的解釋

在表決中，蘋果公司提出了許多支持這些舉措的論點(diǎn)，其中一點(diǎn)最值得一提。蘋果公司表示，多年以來(lái)，CA/B論壇一直在通過(guò)穩(wěn)步縮短證書的最長(zhǎng)有效期來(lái)告訴大家，自動(dòng)化對(duì)于有效的證書生命周期管理而言必不可少。

本次表決指出，出于多種原因，縮短證書有效期是必要的，而其中最突出的是：隨著時(shí)間的推移，證書中的信息越來(lái)越不可信，這個(gè)問(wèn)題只有通過(guò)頻繁地重新驗(yàn)證信息來(lái)解決。

本次表決還指出，使用CRL和OCSP的吊銷系統(tǒng)不可靠。事實(shí)上，瀏覽器經(jīng)常忽略這些功能。表決中有很長(zhǎng)一段內(nèi)容與證書吊銷系統(tǒng)的失效相關(guān)。更短的證書有效期減輕了使用可能被吊銷的證書的影響。2023年，CA/B論壇批準(zhǔn)了7天內(nèi)到期的短期證書，且這些證書不需要CRL或OCSP支持，從而將這一理念提升到了新的層面。

澄清對(duì)新規(guī)定的困惑

新規(guī)則里有兩點(diǎn)可能會(huì)引起混淆：

規(guī)則發(fā)生變化的三年是2026年、2027年和2029年，但后兩個(gè)年份相隔兩年。

1.自2029年3月15日起，TLS證書的最長(zhǎng)有效期為47天，但域名驗(yàn)證信息的最長(zhǎng)重用期僅為10天。手動(dòng)重新驗(yàn)證在技術(shù)上仍然是可能的，但是這樣做會(huì)導(dǎo)致故障和停機(jī)。

2.作為證書頒發(fā)機(jī)構(gòu)，客戶反饋給我們的最常見(jiàn)的一個(gè)問(wèn)題是，他們是否會(huì)因?yàn)楦l繁地替換證書而被收取更多的費(fèi)用。答案是否定的。費(fèi)用基于年度訂購(gòu)，而且我們已經(jīng)了解到，一旦用戶采用自動(dòng)化，他們通常會(huì)自愿選擇更短的證書替換周期。

出于這個(gè)原因，而且2027年證書有效期縮短為100天就將使手動(dòng)流程無(wú)法維持，因此我們預(yù)計(jì)自動(dòng)化會(huì)在遠(yuǎn)早于2029年的時(shí)候被迅速采用。

蘋果公司關(guān)于證書生命周期管理自動(dòng)化的聲明無(wú)可爭(zhēng)議，但這是我們長(zhǎng)期以來(lái)一直在做準(zhǔn)備的事情。DigiCert通過(guò)Trust Lifecycle Manager和CertCentral提供多種自動(dòng)化解決方案，包括對(duì)ACME的支持。DigiCert的ACME允許DV、OV和EV證書的自動(dòng)化，并包括對(duì)ACME續(xù)訂信息（ARI）的支持。

如您有任何疑問(wèn)，請(qǐng)與我們聯(lián)系，以了解SSL證書有效期調(diào)整及Digicert SSL證書自動(dòng)化的更多信息。