CA/B论坛已正式投票修改《TLS基线要求》，以制定缩短TLS证书有效期和证书中CA验证信息可重用性的时间表。投票将于2026年3月开始对用户产生影响。

CA/B论坛对投票进行了长时间讨论，并结合证书颁发机构及其客户的反馈意见，对投票进行了多次修改。投票期于2025年4月11日结束，让这一激烈争论的议题尘埃落定，也让证书界得以规划下一步。

新的TLS证书有效期时间表

新投票的目标是将证书有效期改为47天，这使得自动化变得至关重要。在Apple提出这项建议之前，Google曾提倡最长有效期为90天，但在投票期开始后，Google几乎立即投票支持Apple的建议。

以下是时间表：

• 证书最长有效期将缩短：

  • 从即日起2026年3月15日，TLS证书的最长有效期为398天。
  • 自2026年3月15日起，TLS证书的最长有效期将为200天。
  • 自2027年3月15日起，TLS证书的最长有效期将为100天。
  • 自2029年3月15日起，TLS证书的最长有效期将为47天。

   

• 域和IP地址验证信息可重复使用的最长期限正在缩短：

  • 从即日起至2026年3月15日，域验证信息可重复使用的最长期限为398天。
  • 自2026年3月15日起，域验证信息可重复使用的最长期限为200天。
  • 自2027年3月15日起，域验证信息可重复使用的最长期限为200天。
  • 自2029年3月15日起，域验证信息可重复使用的最长期限为200天。

• 自2026年3月15日起，主体身份信息(SII)的验证只能重复使用398天，少于之前的825天。SII是OV（组织验证）或EV（扩展验证）证书中的公司名称和其他信息，即除受证书保护的域或IP地址外的所有内容。这不会影响没有SII的DV（域验证）证书。

   

为什么是47天？

47天可能看起来像一个随意选择的数字，事实上它源自于简单的级联计算：

• 200天 = 6个月最大天数（184天） + 二分之一30天月（15天） + 1天（浮动天数）
• 100天 = 3个月最大天数（92天） + 约四分之一30天月（7天） + 1天（浮动天数）
• 47天 = 1个月最大天数（31天） + 二分之一30天月（15天） + 1天（浮动天数）

Apple提出这一变更的理由

在投票中，Apple提出了许多支持这些举措的论点，其中一条最值得指出。Apple表示，多年来，CA/B论坛一直通过稳步缩短最长有效期告诉全世界，自动化对于有效的证书生命周期管理基本上是必须的。

投票认为，由于许多原因，缩短有效期是必要的，其中最突出的原因是：随着时间的推移，证书中的信息变得越来越不可信，这个问题只能通过经常重新验证信息来缓解。

投票还认为，使用CRL和OCSP的撤销系统是不可靠的。事实上，浏览器经常忽略这些功能。投票中有很长一段论述了证书撤销制度的缺陷。较短的有效期可减轻使用可能被吊销的证书所带来的影响。2023年，CA/B论坛通过批准短期证书将这一理念提升到一个新的水平，该证书在7天内到期，不需要CRL或OCSP支持。

消除对新规则的混淆

关于新规则，有两点可能会引起混淆：

1. 规则发生变化的三年是2026年、2027年和2029年，后两者之间的间隔为两年。
2. 自2029年3月15日起，TLS证书的最长有效期为47天，但域验证信息可重复使用的最大期限仅为10天。手动重新验证在技术上仍然是可能的，但这样做将导致失败和中断。

作为证书颁发机构，我们从客户那里听到的最常见的问题之一是，他们是否会被收取更多费用来更频繁地更换证书。答案是“不会”。证书成本基于年度订阅，我们了解到，一旦用户采用自动化，他们通常会自愿转向更短的证书替换周期。

出于这一原因，以及即使2027年将证书有效期缩短到100天后，也将使手动更换程序变得无法持续，我们预计用户将快速采用自动化，远远早于2029年的变更日期。

Apple关于自动证书生命周期管理的声明无可争议，这也是我们准备了很久的举措。DigiCert通过 Trust Lifecycle Manager 和 CertCentral提供多种自动化解决方案，包括对ACME的支持。 DigiCert的ACME允许DV、OV和EV证书的自动化，并支持ACME续约信息（ARI）。

有关如何充分利用自动化的更多信息，请联系我们。

数字信任的最新进展

想要详细了解证书管理、自动化和TLS/SSL等主题？ 请订阅DigiCert博客，以确保您永远不会错过任何信息。