SSL证书有效期调整：2026年3月15日起分阶段缩短（200天→100天→47天）

CA/Browser 论坛已正式投票修改 TLS 基线要求 ，以制定缩短 TLS 证书有效期和减少 CA 验证信息再利用性的计划。用户受到影响的第一个变化将在 2026 年 3 月开始实施。

该提案在 CA/Browser 论坛经过长时间的讨论，并经历了多个版本，吸收了证书颁发机构及其客户的意见。投票期于 2025 年 4 月 11 日结束，标志着一个备受争议的章节的结束，并使证书界得以规划接下来的步骤。

新的 TLS 证书有效期时间表

新的选票将证书有效期目标设定为47天，这使得自动化变得至关重要。在投票期开始后不久，苹果提出的建议被提出之前，谷歌曾支持45天的最大有效期，但投票期一开启，他们几乎立即就支持了苹果的提议。

以下是新的时间表：

最大证书有效期将降低：

从今天起至 2026 年 3 月 15 日，TLS 证书的最大有效期为 398 天。

自 2026 年 3 月 15 日起，TLS 证书的最大有效期将为 200 天。

自 2027 年 3 月 15 日起，TLS 证书的最大有效期将为 100 天。

自 2029 年 3 月 15 日起，TLS 证书的最大有效期将为 47 天。

域名和 IP 地址验证信息可重复使用的最长期限将下降：

从今天起至2026年3月15日，域名验证信息可重复使用的最长期限为398天。

自2026年3月15日起，域名验证信息可重复使用的时间最长为200天。

自2027年3月15日起，域名验证信息可以重复使用的最长期限为100天。

自2029年3月15日起，域名验证信息可以重复使用的最长期限为10天。

自 2026 年 3 月 15 日起，主体身份信息（SII）的验证结果只能重复使用 398 天，比之前的 825 天减少了。SII 是指在 OV（组织验证）或 EV（扩展验证）证书中发现的公司名称和其他信息，即证书保护的域名或 IP 地址之外的所有信息。这不影响 DV（域名验证）证书，因为 DV 证书没有 SII。

为什么是47天？

47 天看似一个任意的数字，但其实是一个简单的递减：

200天 = 6个最大月（184天） + 半个30天月（15天） + 1天的缓冲

100天 = 3个最大月（92天） + 大约四分之一30天月（7天） + 1天的缓冲

47 天 = 1 个最大月（31 天）+ 半个 30 天月（15 天）+ 1 天缓冲

苹果更改的原因

在选票中，苹果提出了许多支持这些改变的理由，其中一个尤为值得关注。他们指出，CA/B 论坛通过逐年缩短最大有效期，已经告诉世界，有效的证书生命周期管理几乎是必不可少的自动化过程。

选票认为缩短证书的有效期是必要的，主要原因在于：随着时间的推移，证书中的信息变得越来越不可靠，这个问题只能通过频繁验证信息来缓解。

选票还指出，使用 CRL 和 OCSP 的撤销系统不可靠。确实，浏览器经常忽略这些功能。选票有一大段内容讨论证书撤销系统的缺陷。较短的生命周期可以减轻使用可能被撤销的证书的影响。2023 年，CA/B 论坛将这一理念提升到了另一个层次，批准了有效期为 7 天的短生命周期证书，这些证书不需要 CRL 或 OCSP 支持。