CA/浏览器论坛已正式投票通过修改TLS基线要求，旨在制定缩短TLS证书有效期和证书中CA验证信息可重用的时间表。此次投票的首批用户影响将于2026年3月显现。

这项投票在CA/浏览器论坛上经过了长时间的讨论，并经历了多个版本，吸收了来自证书颁发机构及其客户的反馈意见。投票期于2025年4月11日结束，为这一备受争议的篇章画上了句号，也让证书界得以规划未来的发展。

新的TLS证书生命周期计划

新投票的目标是将证书有效期定为47天，因此自动化至关重要。在苹果提出这项提案之前，谷歌曾提出最长90天的有效期，但投票期开始后，谷歌几乎立即投票支持了苹果的提案。

以下是具体时间安排：

证书的最大有效期正在缩短：

从今天到2026年3月15日，TLS证书的最长有效期为398天。

自2026年3月15日起，TLS证书的最长有效期为200天。

自2027年3月15日起，TLS证书的最长有效期为100天。

自2029年3月15日起，TLS证书的最长有效期为47天。

域名和IP地址验证信息可重复使用的最长期限即将缩短：

从今天起到2026年3月15日，域名验证信息可重复使用的最长期限为398天。

自2026年3月15日起，域验证信息的重复使用期限最长为200天。

自2027年3月15日起，域验证信息的重复使用期限最长为100天。

自2029年3月15日起，域验证信息的重复使用期限最长为10天。

自2026年3月15日起，主体身份信息(SII)的验证有效期从825天缩短至398天。SII是指OV（组织验证）或EV（扩展验证）证书中的公司名称及其他信息，即证书保护的除域名或IP地址之外的所有内容。这不影响没有SII的DV（域名验证）证书。

为什么是47天？

47天可能看起来像一个任意的数字，但它是一个简单的级联：

200天=6个最大月份（184天）+1/2个30天月份（15天）+1天弹性空间

100天=3个最大月份（92天）+~1/4个30天月份（7天）+1天的浮动空间

47天=1个最大月份（31天）+1/2个30天月份（15天）+1天弹性空间

苹果对这一改变的理由

在投票中，苹果公司提出了许多支持这些举措的论据，其中一条最值得一提。他们指出，CA/B论坛多年来一直在通过逐步缩短证书的最大有效期来告诉全世界，自动化对于有效的证书生命周期管理至关重要。

投票认为，缩短证书有效期是必要的，原因有很多，其中最突出的是：随着时间的推移，证书中的信息变得越来越不可信，这个问题只有通过频繁重新验证信息才能缓解。

投票还认为，使用CRL和OCSP的撤销系统不可靠。事实上，浏览器经常忽略这些功能。投票中用了很长的篇幅来阐述证书撤销系统的缺陷。较短的证书有效期可以减轻使用可能被撤销的证书的影响。2023年，CA/B论坛将这一理念提升到了一个新的高度，批准了短期证书（有效期为7天，且不需要CRL或OCSP支持）。

澄清对新规则的困惑

新规中有两点容易引起混淆：

规则变更的三年分别是2026年、2027年和2029年，但第二组年份之间的间隔为两年。

自2029年3月15日起，TLS证书的最长有效期将为47天，但可重复使用域验证信息的最长期限仅为10天。从技术上讲，手动重新验证仍然是可行的，但这样做会导致故障和中断。

作为证书颁发机构，我们经常听到客户问的一个问题是，更频繁地更换证书是否需要支付更多费用。答案是否定的。费用基于年度订阅。据我们了解，一旦用户采用自动化方式，他们通常会主动选择更短的证书更换周期。

出于这个原因，而且即使2027年对100天证书的更改也会使手动程序变得难以为继，我们预计自动化将在2029年更改之前迅速普及。

Apple关于自动化证书生命周期管理的声明毋庸置疑，但这是我们长期以来一直在准备的事情。