TECHNICAL SUPPORT CHAT > VALIDATION CHAT > SALES CHAT > Blog > Certificate Management > TLS Certificate Lifetimes Will Officially Reduce to 47 Days Certificate Management 04-14-2025

TLS证书有效期正式缩短至47天

Stephen Davidson

CA/Browser Forum 已经正式投票通过修改 TLS Baseline Requirements，制定了缩短 TLS 证书有效期以及 CA 验证信息在证书中可重用性的时间表。该提案对用户的首个影响将在 2026 年 3 月发生。

该提案在 CA/Browser Forum 中经过了长时间的辩论，并经过了多个版本，采纳了来自证书颁发机构及其客户的反馈。投票期于 2025 年 4 月 11 日结束，结束了一个激烈的篇章，并允许证书领域为下一步做好计划。

全新的TLS证书有效期时间表

新的提案将证书有效期目标设为 47 天，使得自动化成为必需。在此之前，Apple 提出了该提案，而 Google 曾提倡最长 90 天的有效期，但在投票期开始后几乎立即投票支持 Apple 的提案。

以下是时间表：

• 最大证书有效期将缩短：

  • 从今天到 2026 年 3 月 15 日，TLS 证书的最长有效期为 398 天。
  • 从 2026 年 3 月 15 日起，TLS 证书的最长有效期将为 200 天。
  • 从 2027 年 3 月 15 日起，TLS 证书的最长有效期将为 100 天。
  • 从 2029 年 3 月 15 日起，TLS 证书的最长有效期将为 47 天。

• 域名和 IP 地址 验证信息可重用的最长时间段将缩短：

  • 从今天到 2026 年 3 月 15 日，域名验证信息可重用的最长时间段为 398 天。
  • 从 2026 年 3 月 15 日起，域名验证信息可重用的最长时间段为 200 天。
  • 从 2027 年 3 月 15 日起，域名验证信息可重用的最长时间段为 100 天。
  • 从 2029 年 3 月 15 日起，域名验证信息可重用的最长时间段为 10 天。

• 从 2026 年 3 月 15 日起，主体身份信息 (SII) 的验证只能重复使用 398 天，之前为 825 天。SII 是公司名称和在 OV (Organization Validated) 或 EV (Extended Validation) 证书 中找到的其他信息，即证书保护的域名或 IP 地址之外的所有内容。这不影响没有 SII 的 DV (Domain Validated) 证书。

为什么是 47 天？

47 天似乎是一个随意的数字，但它是一个简单的级联：

• 200 天 = 6 个最长的月份（184 天） + 1/2 个 30 天的月份（15 天） + 1 天的缓冲时间
• 100 天 = 3 个最长的月份（92 天） + ~1/4 个 30 天的月份（7 天） + 1 天的缓冲时间
• 47 天 = 1 个最长的月份（31 天） + 1/2 个 30 天的月份（15 天） + 1 天的缓冲时间

Apple 对变更的理由

在提案中，Apple 提出了许多支持该举措的论点，其中最值得一提的是。他们表示，通过稳步缩短最长有效期，CA/B Forum 多年来一直告诉世界，自动化对于有效的证书生命周期管理至关重要。

该提案认为，由于多种原因，较短的有效期是必要的，其中最突出的是：证书中的信息随着时间的推移变得越来越不可信，只有通过经常重新验证信息才能缓解此问题。

该提案还认为，使用 CRL 和 OCSP 的吊销系统不可靠。事实上，浏览器经常忽略这些功能。该提案中有一长节关于证书吊销系统的失败之处。较短的有效期减轻了使用可能被吊销的证书的影响。2023 年，CA/B Forum 通过批准有效期较短的证书（在 7 天内到期且不需要 CRL 或 OCSP 支持）将这种理念提升到了一个新的水平。

澄清关于新规则的困惑

关于新规则的两点可能会引起混淆：

1. 规则变更的三年是 2026 年、2027 年和 2029 年，但第二组年份之间的差距为两年。
2. 截至 2029 年 3 月 15 日，TLS 证书的最长有效期为 47 天，但域名验证信息可重用的最长时间段仅为 10 天。手动重新验证在技术上仍然可行，但这样做将是失败和中断的根源。

作为证书颁发机构，我们从客户那里听到的最常见问题之一是，更频繁地更换证书是否会收取更多费用。答案是否定的。成本基于年度订阅，我们了解到的是，一旦用户采用自动化，他们通常会自愿转向更快的证书更换周期。

因此，并且由于即使是 2027 年对 100 天证书的更改也会使手动程序变得站不住脚，因此我们预计自动化将在 2029 年的更改之前很久就被迅速采用。

Apple 关于自动化证书生命周期管理的声明是无可辩驳的，但这是我们长期以来一直在准备的事情。DigiCert 通过 Trust Lifecycle Manager 和 CertCentral 提供多种自动化解决方案，包括对 ACME 的支持。DigiCert 的 ACME 允许 DV、OV 和 EV 证书的自动化，并包括对 ACME Renewal Information (ARI) 的支持。

联系我们 以获取有关如何充分利用自动化的更多信息。

数字信任的最新发展

想要了解更多关于证书管理、自动化和 TLS/SSL 等主题的信息吗？订阅 DigiCert 博客，确保您不会错过任何故事。

相关文章

47 Days: The New Certificate Lifetime Proposed by Apple Why Certificate Automation is an Absolute Must How—and Why—to Automate Certificate Management

特色文章

• Digital Trust

12-04-2024 人工智能如何重塑数字信任 Lakshmi Hanspal

• Certificate Management

04-14-2025 TLS证书有效期正式缩短至47天 Stephen Davidson

• Data Security

04-04-2025 为什么手机银行安全仍然不足 Abby Norwood

订阅博客

订阅 HONEYPOTFIELDHTMLNAME

最值得信赖的全球高保障 TLS/SSL、PKI、IoT 和签名解决方案提供商。

• 

• 公司

  • 关于
  • 博客
  • 职业
  • 活动
  • 新闻室
  • 领导力
  • 联系我们
  • 案例研究

• 我的帐户

  • 知识库
  • 文档
  • 支持
  • 开发者
  • CertCentral 帐户
  • 快速链接
  • 合作伙伴目录
  • 所有产品
  • 工具
  • 站点安全签章

• 资源

  • 常见问题
  • 媒体库
  • 专业服务
  • 什么是 PKI？
  • TLS/SSL 如何工作
  • 什么是 SSL TLS 和 HTTPS？
  • 什么是 SSL 证书？
  • DV、OV 和 EV SSL 证书之间有什么区别？

• 网站

  • 支持
  • Vercara DNS
  • DigiCert PQC Playground
  • DigiCert 合作伙伴门户
  • QuoVadis
  • Thawte
  • Rapid SSL
  • GeoTrust

• 

• © 2025 DigiCert, Inc. 保留所有权利。 法律存储库 审核与认证 使用条款 隐私中心 可访问性 Cookie 设置

返回顶部