ssl證書有效期調整：2026年3月15日起分階段縮短（200天→100天→47天）

ca/browser 論壇已正式投票修改 tls 基線要求 ，以制定縮短 tls 證書有效期和減少 ca 驗證信息再利用性的計劃。用戶受到影響的第一個變化將在 2026 年 3 月開始實施。

該提案在 ca/browser 論壇經過長時間的討論，並經歷了多個版本，吸收了證書頒發機構及其客戶的意見。投票期於 2025 年 4 月 11 日結束，標誌著一個備受爭議的章節的結束，並使證書界得以規劃接下來的步驟。

新的 tls 證書有效期時間表

新的選票將證書有效期目標設定為47天，這使得自動化變得至關重要。在投票期開始後不久，蘋果提出的建議被提出之前，谷歌曾支持45天的最大有效期，但投票期一開啟，他們幾乎立即就支持了蘋果的提議。

以下是新的時間表：

最大證書有效期將降低：

從今天起至 2026 年 3 月 15 日，tls 證書的最大有效期為 398 天。

自 2026 年 3 月 15 日起，tls 證書的最大有效期將為 200 天。

自 2027 年 3 月 15 日起，tls 證書的最大有效期將為 100 天。

自 2029 年 3 月 15 日起，tls 證書的最大有效期將為 47 天。

域名和 ip 地址驗證信息可重複使用的最長期限將下降：

從今天起至2026年3月15日，域名驗證信息可重複使用的最長期限為398天。

自2026年3月15日起，域名驗證信息可重複使用的時間最長為200天。

自2027年3月15日起，域名驗證信息可以重複使用的最長期限為100天。

自2029年3月15日起，域名驗證信息可以重複使用的最長期限為10天。

自 2026 年 3 月 15 日起，主體身份信息（sii）的驗證結果只能重複使用 398 天，比之前的 825 天減少了。sii 是指在 ov（組織驗證）或 ev（擴展驗證）證書中發現的公司名稱和其他信息，即證書保護的域名或 ip 地址之外的所有信息。這不影響 dv（域名驗證）證書，因為 dv 證書沒有 sii。

為什麼是47天？

47 天看似一個任意的數字，但其實是一個簡單的遞減：

200天 = 6個最大月（184天） + 半個30天月（15天） + 1天的緩衝

100天 = 3個最大月（92天） + 大約四分之一30天月（7天） + 1天的緩衝

47 天 = 1 個最大月（31 天）+ 半個 30 天月（15 天）+ 1 天緩衝

蘋果更改的原因

在選票中，蘋果提出了許多支持這些改變的理由，其中一個尤為值得關注。他們指出，ca/b 論壇通過逐年縮短最大有效期，已經告訴世界，有效的證書生命周期管理幾乎是必不可少的自動化過程。

選票認為縮短證書的有效期是必要的，主要原因在於：隨著時間的推移，證書中的信息變得越來越不可靠，這個問題只能通過頻繁驗證信息來緩解。

選票還指出，使用 crl 和 ocsp 的撤銷系統不可靠。確實，瀏覽器經常忽略這些功能。選票有一大段內容討論證書撤銷系統的缺陷。較短的生命周期可以減輕使用可能被撤銷的證書的影響。2023 年，ca/b 論壇將這一理念提升到了另一個層次，批准了有效期為 7 天的短生命周期證書，這些證書不需要 crl 或 ocsp 支持。