摘要：近日，CA/B论坛服务器证书工作组（SCWG）投票通过一项重大提案《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》，最终决定：从2026年起SSL/TLS证书的最大有效期将从398天逐步缩短至47天，并计划在2029年全面落实执行。

近日，CA/B论坛服务器证书工作组（SCWG）投票通过一项重大提案《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》，最终决定：从2026年起SSL/TLS证书的最大有效期将从398天逐步缩短至47天，并计划在2029年全面落实执行。

这一变革旨在通过缩短证书有效期提升验证频次，减少因SSL证书密钥泄露带来的安全风险；然而这一变化也带来管理上的挑战，尤其应对证书频繁更新和部署方面的难点。

重大变化

经过一系列讨论，CA/B 论坛服务器证书工作组投票通过 SC-081v3 提案，最终决定逐步缩短公开信任的SSL/ TLS 证书最大有效期及验证数据重用周期。自2010年起，SSL证书有效期已从最长8年逐步缩短至目前的398天（约13个月）；此次提案通过将进一步大幅缩短证书有效期，为SSL证书行业带来新一轮变革。

重大变化包括：

1-SSL/TLS证书最大有效期缩短

SSL/TLS证书最大有效期将由目前的 398 天逐步缩短为200天、100天，最终在2029年3月起缩短至 47天；

2-验证数据重复使用期限缩短

•非 SAN 验证数据的重复使用期限将从 825 天缩短至 398 天。

•SANs（域名/IP）验证数据的重复使用期限将从 398 天逐步缩短为200天、100天，最终在2029年3月起缩短至 10 天。

带来哪些影响

1-积极的影响

长期有效的证书一旦密钥泄露，攻击者可长期利用漏洞窃取或篡改数据。苹果、谷歌等浏览器厂商认为，缩短证书有效期可限制此类风险的时间窗口，迫使网站更频繁地更新密钥和加密标准。此次提案通过缩短证书最大有效期和验证数据重用期，将显著提升SSL证书的可靠性。

2-面临的挑战

管理工作增加：SSL证书更新维护涉及到申请、验证、颁发、部署等管理流程，频繁更新证书将增加管理工作复杂性，对于需要管理大量证书的企业而言，这无疑会增加额外工作量。

服务中断风险：缩短SSL证书有效期，频繁更新证书，更易造成因SSL证书到期或配置错误导致的服务中断，尤其是在金融、政府、医疗等行业，SSL证书有效性直接关系到业务连续性和系统合规性。

应对策略

基于ACME协议（RFC 8555）的自动化证书管理系统，成为企业应对47天有效期挑战的有效解决方案。ACME（Automatic Certificate Management Environment）是一种自动化证书管理协议，旨在简化SSL证书的申请、部署、续签和撤销过程。ACME协议通过与CA（证书颁发机构）的系统交互，实现证书的自动化管理，减少手动操作带来的过期或配置风险。

沃通CA自主研发的SSL证书ACME自动化解决方案，基于ACME协议提供以下功能：

自动化证书申请与部署：通过ACME协议，企业可以自动申请和部署SSL证书，减少手动操作的工作量和错误风险。

自动续签与更新：系统自动监控证书的有效期，并在证书到期前自动续签，确保证书始终处于最新状态，避免服务中断。

实时监控与预警：系统实时监控证书的状态，及时发现和预警证书过期、配置错误等问题，确保证书的安全性和可靠性。

多平台适配：支持多种部署环境，包括主流云服务、WEB SERVERS和网关设备，确保企业在不同环境下的证书管理需求。

SSL/TLS证书有效期缩短至47天的行业变革对企业提出了新的管理挑战，但同时也带来了提升网络安全和可靠性的机遇。沃通CA是依法设立的第三方电子认证服务机构，深耕数字证书领域二十余年，自主研发提供的SSL证书ACME自动化解决方案，可以帮助企业有效地应对行业变化，实现证书管理的自动化和高效化，确保业务的连续性、安全性和合规性。

来源：沃通WoSign