bg-blog-articles

从398天到47天:新SSL证书有效期意味着什么

SSL证书有效期正在发生变化,这一转变已经开始。行业正在从长期证书转向更短的有效期,迫使您改变管理SSL/TLS的方式。

这不是一次小更新。SSL有效期缩短会增加您颁发证书、验证域名和处理续期的频率。以年为周期运作的流程在更紧迫的时间线下将不再适用。

本文将解释发生了哪些变化、行业为何做出这一调整,以及这在实践中意味着什么。您还将了解如何借助专为新SSL自动化时代设计的工具来应对这一变化。


目录

  1. SSL证书有效期时间线:发生了什么变化
  2. 为什么SSL证书有效期越来越短
  3. 更短的SSL有效期在实践中意味着什么
  4. 代码签名证书也将迎来更短的有效期
  5. 如何为即将到来的SSL有效期变化做好准备

SSL证书有效期时间线:发生了什么变化

CA/Browser Forum 制定了一个固定时间表,逐步缩短SSL/TLS证书的最长有效期

  • 2026年3月14日之前:最长有效期约为398天
  • 2026年3月15日起:最长有效期为200天
  • 2027年3月15日起:最长有效期变为100天
  • 2029年3月15日起:最长有效期变为47天

这些限制适用于所有由公共证书颁发机构 (CA) 颁发的证书。

验证复用期也在发生变化

验证复用期定义了CA在颁发新SSL证书时可以依赖先前已完成的域名验证的时长。简单来说,有效期控制的是证书保持有效的时长,而验证复用期控制的是域名所有权证明在颁发新证书时可被接受的时长。这是流程中两个不同的层面。

根据CA/Browser Forum的新规则,验证复用期将随证书有效期同步缩短。这意味着CA必须更频繁地重新检查域名控制权,而不能依赖旧的验证记录。到2029年,复用期将降至最低10天,这实际上要求每次颁发证书时都必须进行验证。

  • 2026年3月15日起:验证复用期限制为200天
  • 2027年3月15日起:缩短至100天
  • 2029年3月15日起:缩短至10天

您必须更频繁地续期证书,并更频繁地重新验证域名。


为什么SSL证书有效期越来越短

行业正在限制SSL有效期,以反映现代基础设施变化的速度。证书不再静静地躺在服务器上数年不动。域名在提供商之间迁移,配置不断更新,所有权或控制权的转移速度也比以往快得多。

与此同时,互联网依赖证书作为信任来源。如果这种信任建立在过时的信息之上,其可靠性就会降低。更短的证书有效期和验证复用期能使证书数据更贴近真实情况,减少风险暴露时间,并推动证书管理向更快速、更可控的流程演进。

  • 证书是某一时刻的快照 — SSL证书记录了颁发时准确的域名所有权、基础设施和联系方式,但这些信息会随时间推移而偏离实际。更短的有效期意味着过时信息被信任的时间更短。
  • 验证数据需要保持最新 — CA需要最新的域名所有权记录才能准确颁发证书。复用旧的验证数据会增加基于不再真实的信息颁发证书的风险,因此更频繁的检查能保持流程的可靠性。
  • 更短的有效期限制了安全风险敞口 — 任何错误颁发的证书或泄露的私钥只能在其有效期内造成损害。快速的续期周期缩短了这一窗口,从而限制了往往无法完全预防的安全事件所带来的影响。
  • 手动管理无法扩展 — 当证书每隔几周或几个月就到期时,手动续期流程根本无法跟上节奏。自动化不再是可选项,而是以一致方式管理整个周期的唯一现实途径。

更短的SSL有效期在实践中意味着什么

新的证书时间框架暴露了在真实基础设施中跟踪、颁发和部署证书方式上的薄弱环节。

续期成为运营负担

一张证书过去每年只需处理一次。而现在,同一张证书在相同时间段内需要操作三次、六次,甚至十次。

以典型配置为例:

  • 主域名上一张证书
  • API上一张证书
  • 预发布环境上一张证书
  • 内部服务上一张证书

这已经是4张以上的证书。在更短的有效期下,您将面临20至40次续期事件,每次都包含颁发、验证和部署步骤。这就是数字开始对您不利的地方。

验证将需要更多关注

以下是新规则生效后典型续期流程的样子:

  • 续期启动,期望自动颁发
  • CA要求进行新的域名验证
  • DNS或HTTP验证记录需要更新
  • 部署流水线在验证通过前陷入停滞

将这一情况扩展到数十个域名和多个环境,续期就不再是例行公事,而是变得难以预测。在围绕CI/CD流水线、自动化部署或基础设施即代码构建的系统中,一个未自动化的验证步骤就可能阻塞整个流程。

手动跟踪在重叠情况下会失效

随着续期频率的增加,电子表格、日历提醒和临时流程变得越来越难以维护。

举例来说:

  • 证书A在60天后到期
  • 证书B在45天后到期
  • 证书C在30天后到期

现在将这种情况扩展到数十张证书。提醒不断堆积,截止日期相互重叠。在您意识到之前,您已经从主动管理变成了被动应对。当大量事件同时竞争处理时,错过证书截止日期的可能性极高。

证书开始脱离视野

大多数团队低估了他们实际运行的证书数量。真实环境通常包括:

  • CDN证书(边缘节点)
  • 负载均衡器证书
  • 源服务器证书
  • 内部服务证书
  • 第三方集成证书

每张证书都有自己的生命周期。没有发现或清单机制,您就会失去可见性。这会导致一种常见的故障模式:

  • “主站正常,但API报SSL错误”。
  • “前端没问题,后端证书过期了”。

部署缺口制造虚假的安全感

证书可能已成功颁发,却始终未能到达正确的位置。部署脚本只执行了一部分,负载均衡器更新了但源服务器没有,于是体验变得不一致。部分用户连接正常,而其他用户遭遇证书错误。这类故障是最难排查的,因为它们的表现并不统一。

超过一定规模后,证书管理就不再适合用清单来处理。它需要清单来跟踪现有证书,需要监控来发现即将到期的证书,需要自动化来处理续期,还需要可靠的部署来确保证书到达正确的位置。


今天从 SSL Dragon 订购 SSL 证书,可节省 10% 的费用!

快速发行、强大加密、99.99% 的浏览器信任度、专业支持和 25 天退款保证。优惠券代码SAVE10

龙飞行的详细图像

代码签名证书也将迎来更短的有效期

代码签名证书正朝着与SSL相同的方向发展:有效期更短,对私钥存储和管理的控制更为严格。

DigiCertGoGetSSL 现在仅颁发一年期的代码签名证书,客户可以使用自己的硬件安全模块,或订购实体令牌。

Sectigo 遵循类似的模式——使用令牌时为一年期,但如果您通过自己的HSM(例如 YubiKey)管理密钥,则可以选择一年、两年或三年期。

这一规律是一致的:更长的有效期与更严格的密钥控制直接挂钩。存储要求越严格,客户在期限长度上获得的灵活性就越大。这与推动SSL变化的逻辑如出一辙。更短的有效期和更好的密钥管理缩小了风险敞口,从整体上增强了对已签名软件的信任。


如何为即将到来的SSL有效期变化做好准备

更短的证书有效期需要结构化的流程。正确的方法取决于规模和复杂程度。

ACME:最适合持续自动化

ACME(自动化证书管理环境)是一种标准化协议,允许服务器和应用程序自动请求、验证、颁发和续期SSL/TLS证书。系统通过API驱动的工作流直接与CA交互,无需依赖CSR生成、邮件审批或文件上传等手动步骤。

在实践中,ACME证书处理完整的生命周期。它们使用HTTP或DNS验证来证明域名控制权,检索证书,安装证书,并在到期前自动续期,无需人工干预。

它最适合以下环境:

  • 基础设施频繁变化(云、容器、微服务)
  • 部署通过CI/CD流水线运行
  • 多个域名或服务需要持续更新证书

RapidSSL AutoInstall:适用于标准服务器环境的简化自动化

AutoInstall SSL简化了基于服务器环境的证书管理。它无需手动上传、编辑配置和重复安装步骤,而是直接与托管面板集成,自动处理部署。

在实践中,它适用于 cPanelPlesk 等类似托管面板平台,在这些平台上证书在服务器级别进行管理。配置完成后,它可以处理颁发和续期,同时确保证书在每个周期内无需手动干预即可正确安装和应用。

它最适合以下配置:

  • 服务器依赖控制面板或托管主机栈
  • 证书管理在服务器级别进行,而非通过自定义基础设施
  • 团队希望减少重复性配置工作,而无需围绕API驱动的自动化重建工作流

DigiCert CertCentral TLS Manager:最适合成长中的团队

CertCentral TLS Manager 是一个集中式平台,用于管理整个组织中SSL证书的完整生命周期。它为您提供一个统一界面,从一处颁发、跟踪、续期和替换证书。

您可以监控到期日期、检测已在基础设施中部署的证书,并管理续期。它还通过API和ACME集成支持自动化,允许在保持集中控制的同时无需人工干预即可颁发和续期证书。

它最适合以下环境:

  • 多个团队或系统请求和管理证书
  • 证书清单不再完全可见
  • 不同服务的续期周期开始相互重叠
  • 集中跟踪和策略控制变得必要

CertCentral并不取代ACME等基础设施级别的自动化,而是在其之上增加了一个控制层。

DigiCert Trust Lifecycle Manager:最适合企业级规模

Trust Lifecycle Manager 将证书管理扩展到公共SSL/TLS之外,将其转变为一个处理整个组织信任的统一系统。它不再在孤立的工具中管理证书,而是将公共证书、私有PKI和内部身份纳入一个受控框架。

它还与身份系统、云平台和DevOps流水线等企业基础设施集成,使证书操作成为现有工作流的一部分,而非独立的流程。

它最适合以下环境:

  • 证书使用横跨公共和私有系统
  • 多个团队或部门各自管理自己的证书
  • 基础设施包含云、本地部署和混合配置
  • 治理、合规和审计要求至关重要

在这种规模下,挑战不仅仅是续期,而是对数百乃至数千张证书的可见性、控制力和一致性。


结语

网络安全”一劳永逸”的时代已正式终结。我们正在从有效期长达数年的证书,迈向仅需几周便会到期的新世界。

倒计时已经开始。仍在尝试手动处理这些更新的企业,随着截止日期不断堆积,将会感受到越来越大的压力。另一方面,那些拥抱更顺畅、更自动化工作方式的团队,几乎不会察觉到这一变化。更短的有效期是新的现实,唯一的出路就是停止被动应对,开始主动优化流程。

SSL Dragon 提供适合各种配置的自动化解决方案,从简单的服务器环境到复杂的大规模基础设施均可覆盖。无论您需要基于ACME协议的自动化、简化的部署,还是完整的生命周期管理,您都可以选择符合自身需求的方案,在续期周期不断加速的情况下,始终掌控您的证书。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

龙飞行的详细图像
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.