CA和浏览器大佬们开会投票决定:以后网站安全证书(TLS证书)的有效期要缩短,证书里验证过的信息也不能一直重复用了。第一批变化2026年3月开始生效。
这个决定吵了很久,改了好多版,听了发证机构和用证书的人的意见。投票在2025年4月11日结束,总算定下来了,以后大家就知道该怎么准备了。
【证书有效期变化】
新规矩是这样安排的:
- 现在到2026年3月15日:证书最长能用398天
- 2026年3月15日起:最长200天
- 2027年3月15日起:最长100天
- 2029年3月15日起:最短只能47天
【验证信息有效期】
验证过的网站信息重复使用期限也要缩短:
- 现在到2026年3月15日:能用398天
- 2026年起:200天
- 2027年起:100天
- 2029年起:最短只能用10天
公司信息验证(OV/EV证书里的公司名等):从2026年3月15日起,有效期从825天缩短到398天。普通域名证书(DV)不受影响。
【为什么选47天?】
47天不是随便定的:
200天 = 6个月(184天)+半个月(15天)+1天备用100天 = 3个月(92天)+1周(7天)+1天备用47天 = 1个月(31天)+半个月(15天)+1天备用
【苹果公司的理由】
苹果参加投票了,这家注重隐私的公司(过于注重安全会带来不便)说:
- 证书用久了信息会过时,经常重验才靠谱
- 现在证书作废系统不好用,缩短有效期更安全(2023年就批准过7天超短证书)
【容易搞混的两点】
注意:
- 新规时间间隔不一样(2026,2027,2029)
- 到2029年,证书能用47天,但网站信息10天就要重验(手动操作会累死人,建议用自动续期)
【费用问题】
客户常问:换证频繁会不会更贵?不会!按年收费不变。其实用自动续期后,很多人主动选更短周期。(自动续费需要收费,阿里云等资本家赚翻了)
【自动化趋势】
到2027年100天有效期时,手动操作就很不方便了。苹果说的自动化管理很重要,我们早就准备好了自动续期工具(比如Trust Lifecycle Manager),能自动处理所有类型证书。