2026年3月，Gworg将迎来SSL/TLS证书颁发领域迄今为止最大的变革。短期证书及其自动验证的时代即将开启。与我们携手做好准备，及时实现流程自动化。

有效期何时会缩短？

新颁发的SSL/TLS证书的有效期将分三批逐步缩短：

2026年3月15日–最长有效期200天

2027年3月15日–最长有效期100天

2029年3月15日–最长有效期47天

注意：这一天可能会提前30天到来，2026年2月23日之前您仍然可以获得1年有效期的SSL证书。

随着新颁发的SSL/TLS证书的有效期缩短，验证的有效期也将缩短，请参阅常见问题解答。

您知道吗……

证书中的域名控制验证（DCV）也需要实现自动化吗？

Google在CA/B论坛中建议，域名控制验证(DCV)必须仅通过自动化方式（DNS、HTTP）进行，不允许使用电子邮件进行验证。

电子邮件作为验证方式最早可能在2027年或2028年结束。

常见问题解答

证书有效期的新规定是什么？

自2026年3月起，新的CA/B论坛SSL/TLS证书规则将逐步实施三项重大变更：

公共SSL/TLS证书的最长有效期将从398天缩短至47天。

域名和IP地址验证数据的最长重复使用期限将从398天缩短至10天。

主体身份信息（SII）——即识别证书颁发给实体的信息——的最长重复使用期限将从825天缩短至398天。

变更时间表是什么？

未来几年，公共SSL/TLS证书的最长有效期将逐步缩短：

截至2026年3月15日，SSL证书的最长有效期为398天。

自2026年3月15日起，SSL证书的最长有效期为200天。

自2027年3月15日起，SSL证书的最长有效期为100天。

自2029年3月15日起，SSL证书的最长有效期为47天。

域名和IP地址验证信息的重复使用期限也在缩短：

截至2026年3月15日，验证数据的最长重复使用期限为398天。

自2026年3月15日起，验证数据的最长重复使用期限为200天。

自2027年3月15日起，验证数据的最长重复使用期限为100天。

自2029年3月15日起，验证数据的最长重复使用期限为10天。

证书最长有效期（最多47天）与域名验证最长重复使用期限（最多10天）之间有什么区别？

证书的最长有效期决定了证书被视为有效的最长天数。证书颁发机构(CA)必须验证申请人是否实际控制证书中列出的域名或IP地址，才能颁发证书。

如果您目前拥有证书并每年续订（根据现行规则），则每次续订时都会重新验证域名控制权。

但如果需要在续期之前更换证书该怎么办？例如，如果私钥泄露了怎么办？在这种情况下，CA可以重用上次续期时执行的验证，从而避免重新验证。这是因为域名验证的最长重用期限尚未到期。

基本要求（也称为基线要求，或CA/B论坛颁发证书的规则）一直都对这两个时间限制进行了定义，但它们通常被设置为相同的值。

新规则最后阶段的变更——证书最长有效期缩短至47天，域名验证的重复使用期限仅为10天——旨在确保更频繁地执行验证。CA/B论坛认为，域名控制信息更新换代非常迅速。

OV和EV证书将适用相同的域名验证计划。验证需要按照与DV证书相同的间隔进行，即每200/100/10天一次。

OV和EV证书中包含的其他信息（例如组织名称和地址）只需每398天续期一次。虽然域名验证可以而且应该实现自动化，但这些附加信息无法完全自动化。

从变更生效之日起，浏览器是否会停止接受有效期超过200/100/47天的证书？

不，不完全是这样。这些限制影响的是证书颁发机构（CA）可以颁发哪些证书，而不是浏览器可以接受哪些证书。

浏览器只会验证当前日期是否在证书的有效期内。

一旦各项规则变更生效，证书颁发机构将无法再颁发有效期超过200/100/47天的SSL/TLS证书。

但是，在规则变更前签发的有效期为398天的证书将继续有效直至到期。同样，有效期为200天的证书在过渡到100天期限时，以及有效期为100天的证书在过渡到47天期限时，也将继续有效。

这些标准变更是否会影响内部（私有）PKI？

不，基本要求仅对公共证书颁发机构具有强制性。

内部PKI运行于您的网络或云端。它包含证书颁发机构，但内部证书颁发机构应用的策略（包括证书有效期）由您决定。较短的有效期可能适用于内部PKI，但并非强制性要求。所有内部PKI软件均可自行管理，但这是一项复杂且容易出错的任务。Gworg为企业、云和制造场景提供各种内部PKI解决方案。

如果我更频繁地更换证书，是否需要支付更多费用？

不。在订单有效期内（以年为单位），续期或补发证书均不收取额外费用。您可以在订单有效期内无限次补发证书。

新规则是否会影响中间证书和根证书？

不，它们仅适用于中间证书颁发机构颁发的叶子证书。CA/B论坛或其他标准组织没有规定限制根证书和中间证书的有效期，但最佳实践普遍被认可，使用证书的软件供应商会为其受信任的根程序制定自己的规则，这些规则可能差异很大。

Mozilla Root Store政策（第7.4节）规定，Mozilla将在密钥生成15年后停止信任根证书。

Chrome根证书计划策略1.6版（2025年2月15日）中的生命周期规则更为复杂。虽然没有固定的期限，但“任何密钥材料生成时间超过15年的根CA证书都将从Chrome根证书存储区逐步移除”。包含2014年4月16日之前创建的密钥的根证书，将根据根证书计划策略中定义的固定年度计划进行移除。

微软可信根证书计划规定，“新颁发的根证书颁发机构的有效期必须至少为八年，最长为二十五年，自提交之日起计算。”微软的政策与其他政策的规则差异源于其公钥基础设施(PKI)支持的应用程序范围远超其他浏览器。

常见的最佳实践是，CA根证书的过期时间不应早于任何关联的中间CA证书的过期时间。

根CA和中间CA生命周期管理不善可能会造成严重后果，最近就出现了这样一个例子：一个看似被遗忘的Google中间CA证书过期，导致许多Google Chromecast设备无法使用。

如何实现证书生命周期管理的自动化？

对于像Web服务器和公共TLS证书这样的常见简单情况，由于广泛支持的自动化证书管理环境(ACME)和ACME续订信息(ARI)标准，CertCentral客户可以免费使用自动化功能。

当然，并非所有证书都是公共TLS证书，也并非所有技术都支持ACME。针对这些情况，主流CA提供了高级自动化和集成选项。

使用ACME实现自动化需要对请求证书的设备或应用程序（通常是Web服务器）进行一些更改。对于大多数管理员来说，这个过程很简单，而且文档齐全。

ACME和ARI是什么？

ACME是自动化证书管理环境（Automated Certificate Management Environment）的缩写。ARI是ACME续订信息（ACMERenewalInformation）的缩写。

ACME是所有主要证书颁发机构都支持的标准，根据该标准，证书客户端软件（通常是Web服务器）向CA请求证书并将其安装到客户端上。（在这种情况下，Web服务器就是客户端。）

客户端软件也必须支持ACME。虽然支持范围广泛，但并非所有客户端都支持ACME。ACME客户端程序通常使用Linuxcron或Windows任务计划程序按计划在客户端系统上运行，但其他解决方案则将计划任务集成到更大型的产品中。

ARI是一种相关标准，服务器可以通过它推荐证书续期计划，以便客户端在证书过期前及时续期。通过正确的配置，即使证书已被吊销，ARI也能指示客户端续期，从而避免服务中断。

这将如何影响我的组织验证(OV)证书和扩展验证(EV)证书？

根据2026年3月15日起生效的新TLS证书规则，主体身份信息(SII)验证的重复使用期限将从目前的825天缩短至398天。

这意味着对您的OV和EV证书的主要影响将是需要每年重新验证SII（证书中用于识别您组织的信息），而不是每两年一次。

根据TLS基线要求，这需要每年与CA机构代表进行一次电话沟通，因此该过程无法完全自动化。

请注意，OV和EV证书也保护域名，因此它们的有效期将与DV证书一样按相同的时间表进行更改：2026年为200天，2027年为100天，2029年为47天。因此，这些证书的自动化管理需求与DV证书一样迫切。

为什么特指47天？

47天这个数字看似随意，但它是基于一个简单的序列：

200天=最多6个月（184天）+半个30天月（15天）+1天缓冲期

100天=最多3个月（92天）+大约1/4个30天的月份（7天）+1天缓冲期

47天=1个月（最多31天）+半个30天的月份（15天）+1天缓冲期

这种设定“特殊”有效期并增加缓冲期的模式，长期以来一直是CA/B论坛的标准做法。目前的398天期限，是由1年（366天）+1个月（31天）+1天缓冲期计算得出的。

我可以在2026年截止日期前续签证书并获得398天的有效期吗？

‍根据规定，如果您在2026年3月15日之前续期证书，则可以再获得398天的有效期。但是，这只是一次性延期——下次续期时，最长有效期将缩短至100天。因此，请提前设置自动化流程以做好准备。

如果您需要在2026年3月15日或之后使用新密钥（重新生成密钥）重新创建证书，任何其他公共证书颁发机构一样，必须遵守当时生效的规则，在最好的情况下，只能为您提供有效期最长为200天的证书。

实现证书管理自动化的最佳时机是越早越好——确保您已为此过程做好准备，同时避免因证书过期或其他问题而导致的服务中断。

非浏览器客户端（例如网络设备）会受到怎样的影响？

公共SSL/TLS证书市场主要面向浏览器使用的证书，这些证书通常安装在Web服务器上，但也存在其他应用场景。VPN网关和一些物联网(IoT)设备就是很好的例子。

这些设备还需要加快证书生命周期管理速度。许多设备直接支持ACME或其他自动化协议，从而最大限度地减少参数更改。在其他情况下，可能支持其他自动化机制，或者根本不支持——在这种情况下，用户需要提供程序化的自动化功能。

适应新的运行时间表将是这些设备普遍面临的问题。因此，必须对所有受影响的设备进行全面清点，Gworg可以为此提供帮助。