TLS证书有效期将正式缩短至47天

CA/浏览器论坛已正式表决修改TLS基线要求，以制定缩短TLS证书有效期和证书中的CA

已验证信息重用期的时间表。本次表决将于2026年3月首次对用户造成影响。

各方在CA/浏览器论坛中对本次表决进行了长时间的辩论，表决经历了几个版本，其中纳

入了证书颁发机构及其客户的反馈意见。表决期终止于2025年4月11日，结束了激烈辩论

的环节，以使证书相关方开始为后续工作做计划。

新的TLS证书有效期安排

本次表决聚焦于47天的证书有效期，因此自动化至关重要。在苹果公司提出该提案之前，

谷歌提出了最长有效期为90天的方案，但谷歌在表决开始后立即投票赞成苹果公司的提案。

有效期安排如下：

◆ 证书的最长有效期将被缩短：

  ◇  自即日起至2026年3月15日，TLS证书的最长有效期为398天。

  ◇  自2026年3月15日起，TLS证书的最长有效期为200天。

  ◇  自2027年3月15日起，TLS证书的最长有效期为100天。

  ◇  自2029年3月15日起，TLS证书的最长有效期为47天。

◆ 域名和IP地址验证信息的最长重用期将被缩短：

  ◇  自即日起至2026年3月15日，域名验证信息的最长重用期为398天。

  ◇  自2026年3月15日起，域名验证信息的最长重用期为200天。

  ◇  自2027年3月15日起，域名验证信息的最长重用期为100天。

  ◇  自2029年3月15日起，域名验证信息的最长重用期为10天。

◆ 自2026年3月15日起，使用者身份信息（SII）验证的重用期将从825天缩短至398天。

   SII是OV（组织验证）或EV（扩展验证）证书中的公司名称与其他信息，即除受证书

   保护的域名或IP地址之外的所有信息。这不影响没有SII的DV（域名验证）证书。

为什么是47天？

47天似乎是一个随意选择的数字，但它是一个简单的“级联”：

◆ 200天=最长的6个月（184天）+1/2个有30天的月份（15天）+1天的余地

◆ 100天=最长的3个月（92天）+~1/4个有30天的月份（7天）+1天的余地

◆ 47天=最长的1个月（31天）+1/2个有30天的月份（15天）+1天的余地

苹果公司对这一变化的解释

在表决中，苹果公司提出了许多支持这些举措的论点，其中一点最值得一提。苹果公司表

示，多年以来，CA/B论坛一直在通过稳步缩短证书的最长有效期来告诉大家，自动化对于

有效的证书生命周期管理而言必不可少。

本次表决指出，出于多种原因，缩短证书有效期是必要的，而其中最突出的是：随着时间

的推移，证书中的信息越来越不可信，这个问题只有通过频繁地重新验证信息来解决。

本次表决还指出，使用CRL和OCSP的吊销系统不可靠。事实上，浏览器经常忽略这些功能。

表决中有很长一段内容与证书吊销系统的失效相关。更短的证书有效期减轻了使用可能被吊

销的证书的影响。2023年，CA/B论坛批准了7天内到期的短期证书，且这些证书不需要CRL

或OCSP支持，从而将这一理念提升到了新的层面。

澄清对新规定的困惑

新规则里有两点可能会引起混淆：

规则发生变化的三年是2026年、2027年和2029年，但后两个年份相隔两年。

1.自2029年3月15日起，TLS证书的最长有效期为47天，但域名验证信息的最长重用期仅

为10天。手动重新验证在技术上仍然是可能的，但是这样做会导致故障和停机。

2.作为证书颁发机构，客户反馈给我们的最常见的一个问题是，他们是否会因为更频繁地

替换证书而被收取更多的费用。答案是否定的。费用基于年度订购，而且我们已经了解到，

一旦用户采用自动化，他们通常会自愿选择更短的证书替换周期。

出于这个原因，而且2027年证书有效期缩短为100天就将使手动流程无法维持，因此我们预计

自动化会在远早于2029年的时候被迅速采用。

苹果公司关于证书生命周期管理自动化的声明无可争议，但这是我们长期以来一直在做准备的

事情。DigiCert通过Trust Lifecycle Manager和CertCentral提供多种自动化解决方案，包括

对ACME的支持。DigiCert的ACME允许DV、OV和EV证书的自动化，并包括对ACME续订信息

（ARI）的支持。

作者：Stephen Davidson   全球治理、风险与合规高级经理| DigiCert

原文链接：点此访问原文 

著作权归作者所有。商业转载请联系作者进行授权，非商业转载请注明出处。