为了进一步提升互联网整体的安全性,SSL/TLS证书的有效期将迎来大幅缩短。
这一规格变更已于2025年4月11日,由全球认证机构(CA)与浏览器厂商组成的行业组织「CA/Browser Forum(CA/浏览器论坛)」正式决议通过。
* 截至2026年1月的信息
SSL/TLS证书是加密网站与浏览器间通信、保障网络安全的关键基础设施。
然而,证书所包含的身份信息仅代表签发时刻的状态。随着时间推移,企业信息变更可能导致证书内容与实际情况出现偏差。
此外,传统的证书吊销检查方式(CRL / OCSP)在时效性与稳定性上存在不足。行业内共识认为,缩短证书更新周期是保障安全的更有力举措。
| 缩短有效期带来的效果 | |
| 提升信息时效性 | 确保证书上的认证信息时刻保持最新,从而确保持续的可信度。 |
| 降低安全风险 | 有效期越短,因过期或错误签发所带来的风险就越低。 |
| 推动自动化普及 | 由于手动更新的频率大幅增加,将促使企业加速采用自动化管理方案。 |
SSL/TLS证书的最大有效期将按以下分阶段逐步缩短。
最终,到2029年3月15日起,SSL/TLS证书的有效期将被限制为「最长47天」。
与此同时,域名验证信息的复用期限也将同步缩短,未来计划缩减至10天左右。
| 适用时间 | 最大有效期 |
| 2026-03-14(周六)前 | 398天 |
| 2026-03-15(周日)起 | 200天 |
| 2027-03-15(周一)起 | 100天 |
| 2029-03-15(周四)起 | 47天 |
将有效期定为「47天」,是综合考量了实际运维的可操作性与安全性后的结果。这一设计旨在为证书的生命周期管理预留必要的缓冲时间。
计算逻辑如下:
31天(覆盖完整大月)+ 15天(半个月的缓冲期)+ 1天(额外冗余) = 47天
此次SSL/TLS证书有效期的缩短,对于网站管理者及企业相关负责人而言,标志着一个重大的转折点。
| 对网站运营及企业的影响 | |
| 更新频率显著增加 | 当有效期最终缩减至「47天」后,每年至少需要进行「8次以上」的证书更新操作。面对如此高频的作业需求,依靠传统的人工手动更新将难以维系,全面采用自动化管理已成为必然要求。 |
| 域名验证频率同步提升 | 未来,签发证书时所必须的「域名所有权(DCV)验证」的有效期(复用周期)也将大幅缩短。 实际上,这意味着几乎每次申请证书时,都需要重新进行域名验证。 |
要从容应对SSL/TLS证书有效期的缩短,企业不能仅仅停留在“调整更新排期”的层面,更需要对整体的运维体系进行重新设计。
特别是在面临「47天」这一极短有效期的情况下,手动更新所带来的运维负担加重。因此,引入自动化管理机制已成为企业的当务之急。
目前,多数认证机构均已支持ACME协议并提供完善的生命周期管理工具。建议企业根据自身的组织规模与业务需求,选择最适宜的解决方案。
| 主要应对措施 | |
| 全面盘点资产状况 | 对当前使用的所有SSL/TLS证书进行彻底梳理,确切掌握其部署位置、配置状态及有效期信息。 |
| 部署自动更新机制 | 部署自动更新机制 利用ACME协议等技术手段,构建证书的自动签发与自动续期体系(避免手动更新模式的风险) |
| 完善监控与告警体系 | 建立SSL/TLS证书有效期的实时监控机制,确保在证书过期前能够及时触发自动预警通知。 |
| 委托外部专业服务 | 考虑将证书管理工作外包给专业的IT服务商或服务器托管公司,以避免内部因人员变动(属人化管理)而导致的操作疏漏。 |
此次缩短SSL/TLS证书有效期的决定,旨在全面强化网络安全并推动运维管理的自动化。
有效期将从2026年起分阶段缩短,最终计划于2029年正式实施「47天」的极短周期标准。 在此背景下,若继续沿用传统的手动更新模式,运维负担将急剧增加,实际操作也将难以为继。
这一变革虽是重大的转折点,但同时也是企业升级运维体系的良机。建议各企业以此为契机,尽早部署SSL/TLS证书的自动签发与自动更新机制,以从容应对未来的变化。
● Ballot SC081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods
https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods
▼ 公司微信公众号(公司官方)▼
▼ 直接联系负责人微信号 ▼
扫码关注微信公众号
微信公众号
负责人微信号
【2026年】中国、日本、新加坡节假日一览表