

见证历史！SSL证书有限期将缩减至47天，站长应该如何应对？

终码一生

2025-05-15

点击“终码一生”，关注，置顶公众号

每日技术干货，第一时间送达！

4 月 13 日， CA/Browser Forum（简称 CABF）通过了一项名为 SC-081 的提案，计划逐步将公开信任的 SSL 证书的最长有效期缩短至 47 天。

这一变更引起了诸多网友的讨论，而这些讨论中也存在着一些尖锐的声音。

的确，这样的调整给我们带来了不便。

可是，这并不是第一次证书有效期被缩短了。

SSL 证书最初没有严格的有效期限制，最长可达 5 年甚至 10 年。这一时期，证书的签发和管理相对宽松，但随着网络安全威胁的增加，长有效期的风险逐渐显现。

2012年，CABF 首次将证书最长有效期限制为 60 个月（5 年），旨在平衡安全性与管理成本。
2015年，进一步缩短至 39 个月（约 3 年），以应对加密算法更新和证书滥用风险。
2018年，谷歌等浏览器厂商推动下，有效期缩短至 825 天（约 2 年），要求 CA 机构更频繁地验证域名所有权。
2020 年，苹果单方面宣布仅信任有效期不超过 398 天（约 1 年）的证书，随后 Chrome、Firefox 等主流浏览器跟进。这一政策迫使 CABF 通过决议，将全球证书有效期统一缩短至 1 年，以减少证书泄露或错误签发的潜在危害。
2025 年 4 月，CABF 通过 SC-081 提案，计划分阶段将证书有效期缩短至 47 天：
2026 年 3 月 15 日起：最长有效期降至 200 天；
2027 年 3 月 15 日起：进一步缩短至 100 天；
2029 年 3 月 15 日起：最终固定为 47 天。

同时，域名验证数据的重用期限也大幅缩短，例如 SAN（多域名）验证数据重用期从 398 天减至 10 天，要求更频繁的身份审核。

具体的调整可以参考下面的表格：

面对即将到来的变革，我们又有什么好的应对方法呢？

抛弃传统手动管理模式，拥抱自动化工具。

尤其是对于企业和开发者来说，高频次的证书更新（未来每47天一次）和严苛的验证规则（如SAN域名每10天重新审核），靠人工操作几乎不可能完成——稍有疏漏就可能导致证书过期、服务中断，甚至被浏览器标记为“不安全”。

这时候，开源免费的自动化工具的优势就体现出来了：

灵活、可控、免费，还能根据需求定制化开发。

这里推荐一个专门应对 SSL 短有效期时代的宝藏开源项目—— ALLinSSL 。

Github项目地址：https://github.com/allinssl/allinssl

它能帮你解决从申请、部署到续签的所有麻烦：

1、一键对接主流 CA

支持 Let’s Encrypt、ZeroSSL 等免费CA，也能集成 PositiveSSL、Sectigo 等商业 CA，不管你用哪种证书，都能通过简单配置自动签发。

2、全场景自动化续签

内置自动化部署工作流和智能监控，到期前 30 天自动触发续签，无需人工干预。

3、多平台无缝部署

支持 Linux、Docker 等环境，能直接将新证书推送到 Nginx、Apache 等服务器和容器，甚至能对接云平台（如阿里云、腾讯云）的对象存储和 CDN，真正实现“签发即部署”。

4、风险预警不操心

自带邮件/钉钉/企业微信通知，一旦发现证书即将过期、验证失败或私钥异常，立刻报警提醒，比人工巡检更及时。

5、开源免费

最关键的是，ALLinSSL 完全开源免费，代码在 GitHub 上公开，企业可以根据自身需求修改底层逻辑，比如定制化验证流程、对接内部系统，甚至开发专属的管理界面。

对于中小团队或个人开发者来说，直接使用官方提供的 Docker 镜像，最快 2 分钟就能完成部署，几乎零学习成本。

以苹果音乐 2024 年 11 月证书过期事件为例：当时苹果部分服务器因 SSL/TLS 证书未及时续期，导致中国区用户无法正常播放音乐，甚至出现 “此连接非私人连接” 的安全警告。尽管苹果此前大力推动证书有效期缩短至 45 天，但自身却因依赖手动管理导致翻车 —— 其使用的 180 天有效期证书未及时更新，暴露了传统运维模式的脆弱性。