CA/Browser Forum(制定 SSL 證書標準的行業機構)於 2025 年 4 月投票決定逐步將證書最長有效期從 398 天縮短至 2029 年 3 月的 47 天。這影響所有憑證授權機構——無論付費還是免費。
時間線
| 生效日期 | 最長有效期 | 最長 DCV 複用 | 影響 |
|---|---|---|---|
| 2026 年 3 月前 | 398 天(13 個月) | 398 天 | 當前狀態 |
| 2026 年 3 月 15 日 | 200 天 | 200 天 | 付費 CA 必須簽發更短證書 |
| 2027 年 3 月 15 日 | 100 天 | 100 天 | 接近 Let’s Encrypt 的 90 天模式 |
| 2029 年 3 月 15 日 | 47 天 | 10 天 | 所有證書需要頻繁續簽 |
DCV 複用 = 域名驗證結果可複用的時長。到 2029 年,即使證書有效期為 47 天,域名控制也必須每 10 天重新驗證。
為什麼會發生這個變化
短期證書更安全:
- 減少暴露視窗 —— 如果金鑰被洩露,損害限於剩餘有效期內
- 更快的吊銷 —— 吊銷機制(CRL、OCSP)不可靠;短有效期使其不那麼關鍵
- 強制自動化 —— 47 天手動續簽無法規模化,推動行業走向自動化證書管理
- 及時驗證 —— 頻繁的域名控制驗證能更快發現過期 DNS、已轉讓域名或所有權變更
Apple 提出了這一變更,四大瀏覽器廠商(Apple、Google、Mozilla、Microsoft)全部投票贊成。
對你意味著什麼
如果你使用 Let’s Encrypt(90 天證書)
短期內變化不大。你已經每 60-90 天續簽。到 2029 年,續簽頻率將從每 60 天收緊為約每 30 天。
需要的操作: 確保你有可靠的續簽自動化(Certbot cron、acme.sh cron)或可靠的手動流程(GetHTTPS 配合日曆提醒)。
如果你使用付費證書(1 年證書)
這是更大的變化。到 2026 年 3 月,最長有效期降至 200 天。到 2029 年,降至 47 天——與 Let’s Encrypt 模式相同。
需要的操作: 開始規劃自動化。付費證書的成本優勢(更長有效期 = 更少續簽)正在消失。許多組織將切換到帶有自動續簽的免費 Let’s Encrypt 證書。
如果你管理大量證書
47 天有效期覆蓋數百個域名意味著每年數千次續簽。手動管理變得不可能。
需要的操作: 實施基於 ACME 的自動化(Certbot、acme.sh 或證書管理平臺)。
“設定後遺忘”的終結
最大的實際影響:你不能再買一張 1 年證書然後忘掉它。到 2029 年,每個網站都需要自動續簽管道或每月手動續簽。
這使免費和付費 CA 之間的差距消失——當所有人都每 47 天續簽時,付費證書的長有效期優勢完全消失。
DCV 複用變更(經常被忽視)
同一份 CA/B Forum 投票也縮短了域名控制驗證(DCV)複用期:
| 日期 | 最長 DCV 複用 |
|---|---|
| 當前 | 398 天 |
| 2026 年 3 月 | 200 天 |
| 2027 年 3 月 | 100 天 |
| 2029 年 3 月 | 10 天 |
DCV 複用 = CA 可以複用之前域名驗證結果的時長。到 2029 年,CA 必須每 10 天重新驗證你的域名控制——即使證書有效期為 47 天。這意味著驗證不能是一次性事件;必須完全自動化。
對 ACME 用戶端(GetHTTPS、Certbot、acme.sh),這是無縫的——每次續簽包含新的驗證。對商業 CA 的手動工作流,這增加了顯著的運營開銷。
如何現在就做好準備
如果你已經使用 Let’s Encrypt + Certbot/acme.sh
你已經在 90 天證書和自動續簽上了。無需操作。 當有效期降至 47 天時,你的 cron 任務會處理——它已經每天檢查兩次。
如果你使用 GetHTTPS(手動續簽)
目前你每約 60 天續簽。47 天證書時變為每約 30 天。選項:
- 繼續手動 —— 設定每 30 天的提醒。1-3 個域名可行。
- 混合方案 —— 用 GetHTTPS 獲取第一張證書,然後安裝 Certbot 自動續簽。
- 觀望 —— 47 天限制是 2029 年 3 月。你有時間。
如果你使用付費 1 年證書
現在就開始規劃:
- 評估 Let’s Encrypt —— 到 2029 年,付費和免費證書將有相同的續簽頻率。溢價值得嗎?
- 實施 ACME 自動化 —— 商業 CA 也支援 ACME(DigiCert、Sectigo)
- 預算自動化工具 —— 如果管理 100+ 證書,需要證書生命週期管理平臺
誰投了贊成票?
該投票(SC-081)獲得四大瀏覽器廠商支援:
- Apple —— 提出變更
- Google —— 投票贊成
- Mozilla —— 投票贊成
- Microsoft —— 投票贊成
CA 的反對意見不一,但瀏覽器廠商擁有否決權。變更將會發生。
常見問題
Let’s Encrypt 會改變其 90 天有效期嗎?
Let’s Encrypt 可能在新規則生效時減至 47 天,或如果 90 天仍在最大值範圍內則保持不變。無論哪種方式,續簽流程不變——大多數使用者已在第 60 天續簽。
這影響已簽發的證書嗎?
不影響。已簽發的證書在其宣告的過期日期前仍然有效。新規則適用於生效日期之後簽發的證書。
我現在應該切換到 Let’s Encrypt 嗎?
如果你在為 1 年證書付費,成本收益比正在快速變化。Let’s Encrypt 的 90 天模式已經更接近 47 天的未來,且生態系統(Certbot、acme.sh、GetHTTPS)已成熟。現在切換意味著變更到來時你已準備就緒。
這會影響舊裝置或瀏覽器嗎?
不會。變更關於最長有效期,不是證書格式或 TLS 版本。與當前證書相容的舊裝置也能使用更短期的證書。裝置不知道也不關心證書有效多久——它只檢查過期日期。
內部/私有證書呢?
此變更僅適用於公開信任的證書(瀏覽器信任儲存中的)。為企業網路簽發證書的內部 CA 不受 CA/B Forum 規則約束。