从9月1日开始，SSL / TLS证书的发布时间不得超过13个月（397天）。苹果公司在三月份在布拉迪斯拉发举行的CA /浏览器论坛春季面对面活动中首次宣布了这一更改。 

然后，上周，在CA / B论坛的夏季活动（虚拟举行）上，Google宣布了将苹果的变化与自己的根程序相匹配的意图。 

还有一个浏览器驱动的投票，旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这个问题。

我们意识到这里可能需要解压缩很多内容，因此为了提供一些清晰的信息，我们将在此博客文章中进行介绍。 

SSL / TLS证书寿命缩短的原因

从高级的理论角度来看，寿命较短的证书有两个主要好处：

第一个是技术组件–更长的使用寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子就是从SHA1到SHA2的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书，否则可能要花费数年才能替换所有旧证书。对于SHA1，花了三个时间。这会带来风险。 

另一个好处与身份有关–用于验证身份的信息应保持信任多长时间？验证之间的时间越长，风险越大。谷歌表示，在理想的世界范围内，验证大约每六个小时进行一次。 

在2015年之前，您可以获得长达五年的SSL / TLS证书。减少到三个，然后在2018年再次减少到两个。在2019年底，在CA / B论坛上提出了将其缩减为一年的选票-证书颁发机构对其进行了否决。

那么，为什么证书仍然减少到一年呢？

CA / Browser论坛是一个行业团体，其开会以就发行可信数字证书的一组基线要求进行投票。但是，它不是理事机构。即使CA表示担心并且不愿意再次降低最大有效性，但是Apple和Google完全有权根据自己的意愿更新其根程序的策略。 

我们了解到，我们刚刚向您抛出了很多行业术语，所以让我们快速退后一步，并确保上一段有意义。 

证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在CA方面，如果浏览器不信任公共证书有什么用？

这一切的管理方式是通过根程序。有四个主要的根程序需要注意：

• 微软

• 苹果

• Mozilla

• Google

顺便说一句，您会注意到这四个在桌面和移动设备上都落后于主要浏览器。为了使CA的证书受到根程序的信任，并通过扩展使用它们的浏览器和OS的信任，它必须遵守该根程序的准则。CA / B论坛是一个行业论坛，可以理想地帮助促进对根程序（以及生态系统本身）的更改。 

但是作为浏览器参与的根程序仍然可以单方面采取行动，并根据需要进行更改。当发生这种情况时，对互操作性的需求基本上表明，无论根程序策略具有最严格的标准，它都会成为新的事实上的基准要求。 

那就是我们到达这里的方式。现在，让我们谈谈这对您的网站意味着什么。

SSL / TLS有效期缩短对网站所有者意味着什么

首先，这将在2020年9月1日生效。因此，如果您使用的是9月1日之前签发的两年期证书，则该证书将一直有效，直到其原始到期日期为止。未来两年您将无法续约。 

换句话说，您必须在9月1日之前获得两年的证书。之后，它们将被降级为历史桌面回收站。 

从更大的角度来看，这可能是开始考虑自动执行更多证书生命周期管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织，也适用于使用公共信任的电子邮件证书的组织，以及使用私有CA或基于PKI的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任，这也有助于管理–您甚至可以使用该方法颁发具有更长有效期的证书。 

否则，根程序继续前进以缩短有效性的方式进行处理–在将来的某个时候，组织将不得不被迫自动执行许多此类操作。 

现在最好比将脚踩在火上探索一下。 

GlobalSign将如何处理一年期证书

为了简化（使过程尽可能简单），GlobalSign从8月31日开始订购SSL / TLS客户的一年期证书，其最长有效期为397天。这适用于新订单和续订，以最大程度地提高客户的利益。

您仍然需要在证书过期之前进行续订，但是由于我们不能再提供多达90天的有效期，因此建议您在证书到期后30天内进行续订。 

重新签发证书怎么办？

您可能会想，在此更改生效后，如果您重新发行一张两年期证书，将会发生什么情况。好吧，我们为您带来好消息！如果您重新颁发证书并失去有效性（我们必须将有效期限制为397天），则可以在以后（最好是原始证书过期之前少于397天）重新颁发证书，并从第一次重新颁发中恢复丢失的有效性！这与2018年从三年最大有效期降低到两年的方式相同。

需要注意的一项是，由于EV准则（EVGL）对重新颁发证书的要求，EV的重新发行过程有些不同。虽然您仍然可以重新颁发证书，但是它们将排队等待人工检查，我们需要确保所有验证都是最新的，然后才能发布它。