CA/Browser Forum(制定 SSL 证书标准的行业机构)于 2025 年 4 月投票决定逐步将证书最长有效期从 398 天缩短至 2029 年 3 月的 47 天。这影响所有证书颁发机构——无论付费还是免费。
时间线
| 生效日期 | 最长有效期 | 最长 DCV 复用 | 影响 |
|---|---|---|---|
| 2026 年 3 月前 | 398 天(13 个月) | 398 天 | 当前状态 |
| 2026 年 3 月 15 日 | 200 天 | 200 天 | 付费 CA 必须签发更短证书 |
| 2027 年 3 月 15 日 | 100 天 | 100 天 | 接近 Let’s Encrypt 的 90 天模式 |
| 2029 年 3 月 15 日 | 47 天 | 10 天 | 所有证书需要频繁续签 |
DCV 复用 = 域名验证结果可复用的时长。到 2029 年,即使证书有效期为 47 天,域名控制也必须每 10 天重新验证。
为什么会发生这个变化
短期证书更安全:
- 减少暴露窗口 —— 如果密钥被泄露,损害限于剩余有效期内
- 更快的吊销 —— 吊销机制(CRL、OCSP)不可靠;短有效期使其不那么关键
- 强制自动化 —— 47 天手动续签无法规模化,推动行业走向自动化证书管理
- 及时验证 —— 频繁的域名控制验证能更快发现过期 DNS、已转让域名或所有权变更
Apple 提出了这一变更,四大浏览器厂商(Apple、Google、Mozilla、Microsoft)全部投票赞成。
对你意味着什么
如果你使用 Let’s Encrypt(90 天证书)
短期内变化不大。你已经每 60-90 天续签。到 2029 年,续签频率将从每 60 天收紧为约每 30 天。
需要的操作: 确保你有可靠的续签自动化(Certbot cron、acme.sh cron)或可靠的手动流程(GetHTTPS 配合日历提醒)。
如果你使用付费证书(1 年证书)
这是更大的变化。到 2026 年 3 月,最长有效期降至 200 天。到 2029 年,降至 47 天——与 Let’s Encrypt 模式相同。
需要的操作: 开始规划自动化。付费证书的成本优势(更长有效期 = 更少续签)正在消失。许多组织将切换到带有自动续签的免费 Let’s Encrypt 证书。
如果你管理大量证书
47 天有效期覆盖数百个域名意味着每年数千次续签。手动管理变得不可能。
需要的操作: 实施基于 ACME 的自动化(Certbot、acme.sh 或证书管理平台)。
“设置后遗忘”的终结
最大的实际影响:你不能再买一张 1 年证书然后忘掉它。到 2029 年,每个网站都需要自动续签管道或每月手动续签。
这使免费和付费 CA 之间的差距消失——当所有人都每 47 天续签时,付费证书的长有效期优势完全消失。
DCV 复用变更(经常被忽视)
同一份 CA/B Forum 投票也缩短了域名控制验证(DCV)复用期:
| 日期 | 最长 DCV 复用 |
|---|---|
| 当前 | 398 天 |
| 2026 年 3 月 | 200 天 |
| 2027 年 3 月 | 100 天 |
| 2029 年 3 月 | 10 天 |
DCV 复用 = CA 可以复用之前域名验证结果的时长。到 2029 年,CA 必须每 10 天重新验证你的域名控制——即使证书有效期为 47 天。这意味着验证不能是一次性事件;必须完全自动化。
对 ACME 客户端(GetHTTPS、Certbot、acme.sh),这是无缝的——每次续签包含新的验证。对商业 CA 的手动工作流,这增加了显著的运营开销。
如何现在就做好准备
如果你已经使用 Let’s Encrypt + Certbot/acme.sh
你已经在 90 天证书和自动续签上了。无需操作。 当有效期降至 47 天时,你的 cron 任务会处理——它已经每天检查两次。
如果你使用 GetHTTPS(手动续签)
目前你每约 60 天续签。47 天证书时变为每约 30 天。选项:
- 继续手动 —— 设置每 30 天的提醒。1-3 个域名可行。
- 混合方案 —— 用 GetHTTPS 获取第一张证书,然后安装 Certbot 自动续签。
- 观望 —— 47 天限制是 2029 年 3 月。你有时间。
如果你使用付费 1 年证书
现在就开始规划:
- 评估 Let’s Encrypt —— 到 2029 年,付费和免费证书将有相同的续签频率。溢价值得吗?
- 实施 ACME 自动化 —— 商业 CA 也支持 ACME(DigiCert、Sectigo)
- 预算自动化工具 —— 如果管理 100+ 证书,需要证书生命周期管理平台
谁投了赞成票?
该投票(SC-081)获得四大浏览器厂商支持:
- Apple —— 提出变更
- Google —— 投票赞成
- Mozilla —— 投票赞成
- Microsoft —— 投票赞成
CA 的反对意见不一,但浏览器厂商拥有否决权。变更将会发生。
常见问题
Let’s Encrypt 会改变其 90 天有效期吗?
Let’s Encrypt 可能在新规则生效时减至 47 天,或如果 90 天仍在最大值范围内则保持不变。无论哪种方式,续签流程不变——大多数用户已在第 60 天续签。
这影响已签发的证书吗?
不影响。已签发的证书在其声明的过期日期前仍然有效。新规则适用于生效日期之后签发的证书。
我现在应该切换到 Let’s Encrypt 吗?
如果你在为 1 年证书付费,成本收益比正在快速变化。Let’s Encrypt 的 90 天模式已经更接近 47 天的未来,且生态系统(Certbot、acme.sh、GetHTTPS)已成熟。现在切换意味着变更到来时你已准备就绪。
这会影响旧设备或浏览器吗?
不会。变更关于最长有效期,不是证书格式或 TLS 版本。与当前证书兼容的旧设备也能使用更短期的证书。设备不知道也不关心证书有效多久——它只检查过期日期。
内部/私有证书呢?
此变更仅适用于公开信任的证书(浏览器信任存储中的)。为企业网络签发证书的内部 CA 不受 CA/B Forum 规则约束。