blog  >   证书-管理   >   TLS 憑證有效期將正式縮短為 47 天
证书-管理 05-16-2025

TLS 憑證有效期將正式縮短為 47 天

CA/瀏覽器論壇已正式投票表決修訂 TLS 基準要求,建立縮短 TLS 憑證有效期,和憑證中 CA 驗證資訊可重複使用性兩者的時程表。這項決議對於使用者的影響最初會出現在 2026 年 3 月。

這項決議於 CA/瀏覽器論壇中經過長時間的討論,且經歷數種版本變化,納入了憑證授權機關及其客戶的寶貴意見。投票階段於 2025 年 4 月 11 日結束,一個激烈對抗的篇章就此完結,而憑證世界得以開始擘劃未來。

新 TLS 憑證有效期時程表

新的決議目標將憑證有效期間設為 47 天,因此自動化是不可或缺的。在 Apple 的這項提案之前,Google 所推廣的有效期為最長可達 90 天,但其幾乎是在投票階段一開始後,馬上就投票贊成 Apple 的提案。

以下為時程表:

  • 憑證最長有效期會逐步縮短:

    • 自今天至 2026 年 3 月 15 日止,TLS 憑證的最長有效期為 398 天。
    • 自 2026 年 3 月 15 日起,TLS 憑證的最長有效期為 200 天。
    • 自 2027 年 3 月 15 日起,TLS 憑證的最長有效期為 100 天。
    • 自 2029 年 3 月 15 日起,TLS 憑證的最長有效期為 47 天。

     

  • 網域和 IP 位址驗證資訊可重複使用的最長期間會逐步縮短:

    • 自今天至 2026 年 3 月 15 日止,網域驗證資訊可重複使用的最長期間為 398 天。
    • 自 2026 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 200 天。
    • 自 2027 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 100 天。
    • 自 2029 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 10 天。

  • 自 2026 年 3 月 15 日起,主體身分資訊 (SII) 驗證的可重複使用期間從 825 天縮短為 398 天。SII 是能於 OV(組織驗證)或 EV(延伸驗證)憑證內尋得的公司名稱和其他資訊,亦即除了憑證所保護之網域名稱或 IP 位址以外的所有資訊。不會影響到 DV(網域名稱驗證)憑證,因其不含 SII。

     

為什麼是 47 天?

47 天看起來可能像一個隨意的數字,但其實本身是一連串簡單運算的結果:

  • 200 天 = 最長 6 個月(184 天)+ 1/2 個月(每月 30 天計,故為 15 天)+ 1 天彈性空間
  • 100 天 = 最長 3 個月(92 天)+ 大約 1/4 個月(每月 30 天計,故為 7 天)+ 1 天彈性空間
  • 47 天 = 最長 1 個月(31 天)+ 1/2 個月(每月 30 天計,故為 15 天)+ 1 天彈性空間

Apple 對於這項變更的理由

決議過程中,Apple 提出許多支持這項變動的論點,其中有一點值得特別說明。他們表示,CA/B 論壇數年來持續藉由逐步縮短最長有效期來告訴全世界,若要達到有效的憑證生命週期管理,自動化基本上是必要條件。

這項決議指出,較短的有效期之所以必要有許多理由,其中最重要的一項在於:憑證內的資訊可信度會隨著時間經過逐漸下降,而這個問題只能透過頻繁地重新驗證資訊來得到緩解。

這項決議也指出,使用 CRL 和 OCSP 的撤銷系統並不可靠。的確,瀏覽器經常會忽略這些功能。決議中針對憑證撤銷系統的失能有一長段說明。較短的有效期能減緩使用可能被撤銷之憑證所造成的影響。2023 年時,CA/B 論壇核准了 7 天便會過期,且不需要 CRL 或 OCSP 支援的短期憑證,將這樣的理念提升到另一個層次。

釐清關於新規則的疑惑之處

新規則有兩個地方可能會讓人感到疑惑:

  1. 規則變更時間點的三個年份為 2026、2027 和 2029 年,其中第二段的間隔長達兩年。
  2. 自 2029 年 3 月 15 日起,TLS 憑證的最長有效期會是 47 天,但網域驗證資訊可重複使用的最長期間僅有 10 天。手動重新驗證在技術上仍屬可行,不過這樣的方式已經可以預見會導致失敗和中斷。

做為憑證授權機關,我們最常聽到的客戶疑問之一,便是如果替換憑證的頻率變高,是否會需要支出較高額的費用。答案是不會。費用是根據年度訂閱而定,而且據我們所知,當使用者採取自動化之後,其通常會自願改為更快速的替換週期。

基於這個原因,加上 2027 年憑證期限變更為 100 天會讓手動程序難以為繼,我們預期自動化在 2029 年的變更前許久便會快速普及。

Apple 關於憑證生命週期管理自動化的聲明是無庸置疑的,但這也是我們長久以來一直在準備的方向。DigiCert 透過 Trust Lifecycle Manager 和 CertCentral 提供多種自動化解決方案,包括支援 ACME。DigiCert 的 ACME 讓 DV、OV 及 EV 憑證得以自動化,且包含支援 ACME 續訂資訊 (ARI)。

與我們聯絡,瞭解關於您能如何充分運用自動化的進一步資訊。

數位信任的最新發展

想要進一步瞭解憑證管理自動化,以及 TLS/SSL 這類主題的相關資訊嗎? 立即訂閱 DigiCert 部落格,讓您絕不錯過每篇精彩文章。

相關文章

Featured Stories

04-14-2025

TLS Certificate Lifetimes Will Officially Reduce to 47 Days

stephen-davidson
06-16-2025

Building Digital Trust in a Perimeterless World

abby-norwood
06-12-2025

What the Updated Executive Order Really Means for Cybersecurity

 

michael-smith

Subscribe to the blog

  • DigiCert Logo

    最受信任的高保障度TLS/SSL、PKI、IoT 與簽章解決方案的全球提供商。