47天：苹果公司提议的最新证书有效天数

作者：Dean Coclin  高级总监，数字信任专家 | DigiCert

来源：微信公众号  DigiCert_BJoffice 

著作权归作者所有。商业转载请联系作者进行授权，非商业转载请注明出处。

2024年8月，苹果公司提议修改CA/浏览器论坛服务器证书工作组的TLS服务器证书基线要求。该提议概述

了大幅缩短TLS证书有效期以及用于验证证书内信息的重用期的时间表。

这样的提议被称为“提案”，自其被提出以来，这一提案引发了大量讨论。该提案可能会随着讨论的继续而发

生变化，但以下是我们迄今为止所了解到的情况。

提案内容

苹果公司提议的变化将在未来几年逐步实施，既缩短证书的有效期也缩短验证重用期。以下是这些变化的详

细信息。

TLS证书有效期的缩短

目前TLS证书的最长有效期为398天。

◆ 自2026年3月15日起：有效期不应超过199天，并不得超过200天。

◆ 自2027年3月15日起：有效期不应超过99天，并不得超过100天。

◆ 自2029年3月15日起：有效期不应超过46天，并不得超过47天。

验证重用期限制

验证重用期是指用于颁发证书的信息（包括组织身份和域名所有权）可被视为有效的期限。

◆ 使用者身份信息（OV与EV证书） 

◇ 目前：验证重用期最长为825天。

◇ 自2026年3月15日起：最长重用期缩短至398天。

这会影响组织验证（OV）和扩展验证（EV）证书，这类证书的组织详细信息必须被更频繁地重新验证。

◆ 域名与IP地址验证

◇ 目前：重用期最长为398天。

◇ 自2026年3月15日起：重用期不得超过200天。

◇ 自2027年3月15日起：重用期不得超过100天。

◇ 自2029年3月15日起：重用期不得超过10天。

这对证书所有者而言意味着什么

给证书所有者的信息很明确：要立即开始为您的证书生命周期管理实现自动化。随着这些最新时间框架的

生效，手动流程将不可持续，而且几乎肯定会导致停机。

若要保持领先，您的组织应该优先考虑实现以下领域的自动化：

◆证书请求

◆使用者可选名称（通常是域名）的验证

◆证书安装，以确保相关系统的可用性

DigiCert ONE平台提供所有这些开箱即用的功能并支持ACME协议，即使在复杂的环境中也能简化自动化

DigiCert® Trust Lifecycle Manager提供对证书使用、失效日期和CA分布的实时洞察，帮助您大规模管理数字信任。

现在正是做准备的时候

苹果公司提案中最引人注目的变化之一是DNS和IP验证的最长重用期缩短。虽然到2029年该提议的证书有

效期会降至47天，但DNS/IP验证的重用期将被限制在10天内，这是一个更为严格的时间窗口。

2029年听起来可能很遥远，但这些变化要求组织对管理证书的方式做出重大改变。现在正是开始为证书生

命周期管理的各个方面实现自动化的时机，这样贵组织就能为此做好准备。

如果该提案被通过，这些缩短的有效期将成为DigiCert和所有其他公共证书颁发机构（CA）的强制性要

求。但我们在此提供帮助——现在就与我们联系，开始根据您的需求量身定制解决方案。

数字信任的最新进展

想了解有关自动化、合规性和证书管理等话题的更多信息吗？请订阅DigiCert博客，以确保您永远不会错过

任何信息。