到2029年，新颁发的 SSL/TLS 证书最长有效期不超过 47 天

CA/Browser Forum － 一个由网络浏览器制造商、安全证书颁发机构及其盟友组成的核心团体 － 已投票决定到 2029 年 3 月 15 日将新颁发的 SSL/TLS 证书的最大有效期缩减至仅 47 天。

目前，这些支持浏览器与网站之间加密 HTTPS 连接等功能的证书，其有效期最长可达 398 天，之后需要续签。去年， Apple 提出了缩短续签间隔时间的提议，并获得了大科技公司的支持。

他们认为，缩短续签周期可以使被泄露或被盗用的证书在被滥用时，仅能最长被利用几天或几周，而不是数月，之后证书便会过期。一方面，这可能意味着证书持有者需要向证书颁发机构购买更多证书；另一方面， Let's Encrypt 提供了完全免费的优质证书，并协助实现续签过程的自动化。

上周末，在此次大幅缩短证书有效期的提议中，证书颁发机构以 25-0 的投票结果通过该提议，有五家机构选择弃权，分别是 Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems 以及 TWCA。证书使用方 Apple, Google, Microsoft 以及 Mozilla 全票支持该提议。

证书有效期缩减的时间表如下：

2026 年 3 月 15 日：新颁发的证书，包括它们的域名控制验证 ( DCV ) 将需要每 200 天续签一次。

2027 年 3 月 15 日：有效期将缩短至 100 天。

2029 年 3 月 15 日：新颁发的 SSL/TLS 证书将被限制为 47 天，而 DCV 的有效期则限制为 10 天。

Sectigo 首席合规官兼 CA/Browser Forum 副主席 Tim Callan 表示： “业界一致支持将证书有效期缩减至 47 天，这反映了大家共同致力于提升数字安全和信任的承诺。”

“这一关键且积极的举措对于我们行业来说，凸显了在当今威胁形势下敏捷应变与主动风险管理的重要性，同时为应对量子时代的风险做好准备。”

2020 年， Apple 单方面决定其软件（主要是 Safari）将不再接受自颁发日起有效期超过 13 个月的新 HTTPS 证书，因此对缩短证书有效期的竞争已经酝酿了一段时间。

一位 Reddit 系统管理员论坛的网友在回应上周末的投票时表示：“从安全角度来看，我非常赞同并理解这一变化。”

“但从系统管理员和运营的角度来看：这真是个愚蠢的改变。在理想的云原生、全自动化的幻想世界中，这或许可行，而且不会产生过多的额外负担。但在现实中，这势必会带来大量的手工操作——至少，在大家更换旧硬件并且制造商修补产品缺陷之前。”

逐步收紧续签期限旨在帮助公司适应这一变化。越来越明显，未来几年 IT 管理员将不得不转向用于处理 SSL/TLS 证书的自动化系统。