SSL/TLS证书有效期将大幅缩短,至2029年仅47天
CA/Browser Forum投票通过逐步缩减证书有效期计划,以提升数字安全与信任
CA/Browser Forum —— 由网络浏览器制造商、安全证书颁发机构及其盟友组成的核心团体 —— 已投票决定,到2029年3月15日,新颁发的SSL/TLS证书的最大有效期将被缩减至仅47天。
目前,此类证书最长有效期可达398天。此举旨在减少因证书被盗用后可能造成的安全风险,确保其最多只能在几天或几周内被滥用。大科技公司,包括Apple、Google、Microsoft和Mozilla均全票支持这一提议。
该措施分阶段实施:
- 2026年3月15日:新颁发的证书必须每200天续签一次;
- 2027年3月15日:有效期缩短至100天;
- 2029年3月15日:证书最大有效期为47天,域名控制验证(DCV)有效期限制为10天。
此次表决中,证书颁发机构以25-0通过该提案,五家机构选择弃权,分别为Entrust、IdenTrust、Japan Registry Services、SECOM Trust Systems以及TWCA。
Sectigo首席合规官兼CA/Browser Forum副主席Tim Callan表示:“业界一致支持将证书有效期缩减至47天,这反映了大家共同致力于提升数字安全和信任的承诺。”
“这一举措强调了敏捷应变与主动风险管理的重要性,并为应对量子时代潜在风险做好准备。”
Apple早在2020年就已单方面要求Safari仅接受有效期不超过13个月的新HTTPS证书。随着此次论坛的最终决议,这场关于证书短期化的讨论已持续多年。
部分系统管理员指出,虽然该变化从安全角度值得支持,但在运营层面可能会带来一定挑战,尤其是在尚未实现自动化管理的企业环境中。逐步收紧的期限也有助于各类组织适应未来趋势,推动全面采用自动化系统处理SSL/TLS证书相关事务。
