SSLTLS 证书有效期在 2029 年之前缩短至 47 天

为了增强互联网安全性，CA/Browser 论坛批准了一项提议，将 SSL/TLS 证书的最大有效期从目前的 398 天缩短至 47 天（在 2029 年 3 月 15 日之前完成）。这一决定最初由苹果公司提出，并得到了谷歌、Mozilla 和 Sectigo 等主要行业参与者的支持，旨在减少与长期证书相关的风险，并鼓励证书管理的自动化。

根据提议，SSL/TLS 证书有效期将通过分阶段的方式逐步缩短。从 2026 年 3 月 15 日起，证书的最大有效期将缩短至 200 天。2027 年 3 月 15 日，有效期将进一步缩短至 100 天。最后，在 2029 年 3 月 15 日，最大有效期将缩短至 47 天，这标志着整个行业在证书管理方式上的重大转变。

此外，域名验证信息的重用期限也将从 398 天缩短至 2029 年的 10 天，这意味着域名将需要更频繁地进行重新验证。

这一变化的合理性在于缩短证书的有效期能够显著限制被泄露证书可被利用的时间窗口，从而有效增强安全性。较短的有效期减少了对证书吊销机制的依赖，而这些机制一直以来都存在不可靠性。

一些专业人士对这一变化的可行性和必要性表示怀疑。例如，Daniel V. Bailey 对支持该举措的实证数据表示怀疑，他说：

“我们有确凿的数据表明这是一个好的决定吗？我当然理解其出发点。证书吊销检查确实存在问题，但自动化工具可以帮助你自动续订证书。遗憾的是，在实践中，公司会有遗留系统和设备，它们难以实现自动化。”

还有人强调了缺乏自动化能力的组织可能面临的潜在运营挑战。一位 Reddit 用户评论道：

“我认为，包括公共部门实体在内的各方成本，都需要实现所有证书轮换的自动化。然而，目前完全缺乏实际证据（证明这种措施能够防止的攻击类型），却将其作为一项‘安全’措施进行推广——这种做法可能会促使政府在这些截止日期到来时，对不受问责的 CA/BF 集团所掌握的影响力和把关权力进行一次认真、艰难、早就该进行的审视。”

支持缩短 SSL/TLS 证书有效期的人认为，较短的有效期能够显著限制被泄露证书可被利用的时间窗口，从而有效增强安全性。正如 Sectigo 所指出的，较短的证书有效期降低了诸如私钥泄露、误发和吊销延迟等风险，从而加强了数字安全性。

此外，向较短有效期的转变将促使企业广泛采用自动化的证书管理方式。正如 AppViewX 所指出的，短寿命证书需要频繁续订，这一过程最好通过自动化手段来完成，以防止证书过期和中断。自动化解决方案确保了无缝的证书生命周期管理，增强了合规性、运营效率，并提升数字信任。

随着行业逐步适应这些变化，组织需要对其现有的证书管理实践进行全面评估，并尽可能地引入自动化，以便在不断发展的数字环境中保持安全性和合规性。

原文链接：

https://www.infoq.com/news/2025/05/ssl-certificate-lifespans-shrink/