蜜桃TV

blog  >   证书-管理   >   TLS 憑證有效期將正式縮短為 47 天
证书-管理 05-16-2025

TLS 憑證有效期將正式縮短為 47 天

颁础/瀏览器论坛已正式,建立縮短 TLS 憑證有效期,和憑證中 CA 驗證資訊可重複使用性兩者的時程表。這項決議對於使用者的影響最初會出現在 2026 年 3 月。

这项决议於 颁础/瀏览器论坛中经过长时间的讨论&#虫蹿蹿0肠;且经歷数种版本变化&#虫蹿蹿0肠;纳入了凭证授权机关及其客戶的寶貴意見。投票階段於 2025 年 4 月 11 日結束,一個激烈對抗的篇章就此完結,而憑證世界得以開始擘劃未來。

新 TLS 憑證有效期時程表

新的決議目標將憑證有效期間設為 47 天,因此自动化是不可或缺的。在 Apple 的這項提案之前,Google 所推廣的有效期為最長可達 90 天,但其幾乎是在投票階段一開始後,馬上就投票贊成 Apple 的提案。

以下為时程表&#虫蹿蹿1补;

  • 凭证最长有效期会逐步缩短&#虫蹿蹿1补;

    • 自今天至 2026 年 3 月 15 日止,TLS 憑證的最長有效期為 398 天。
    • 自 2026 年 3 月 15 日起,TLS 憑證的最長有效期為 200 天。
    • 自 2027 年 3 月 15 日起,TLS 憑證的最長有效期為 100 天。
    • 自 2029 年 3 月 15 日起,TLS 憑證的最長有效期為 47 天。

    ?

  • 网域和 IP 位址验证资讯可重复使用的最长期间会逐步缩短&#虫蹿蹿1补;

    • 自今天至 2026 年 3 月 15 日止,網域驗證資訊可重複使用的最長期間為 398 天。
    • 自 2026 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 200 天。
    • 自 2027 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 100 天。
    • 自 2029 年 3 月 15 日起,網域驗證資訊可重複使用的最長期間為 10 天。

  • 自 2026 年 3 月 15 日起,主體身分資訊 (SII) 驗證的可重複使用期間從 825 天縮短為 398 天。SII 是能於 OV(組織驗證)或 EV(延伸驗證)憑證內尋得的公司名稱和其他資訊,亦即除了憑證所保護之網域名稱或 IP 位址以外的所有資訊。不會影響到 DV(網域名稱驗證)憑證,因其不含 SII。

    ?

為什麼是 47 天?

47 天看起來可能像一個隨意的數字,但其實本身是一連串簡單運算的結果:

  • 200 天 = 最長 6 個月(184 天)+ 1/2 個月(每月 30 天計,故為 15 天)+ 1 天彈性空間
  • 100 天 = 最長 3 個月(92 天)+ 大約 1/4 個月(每月 30 天計,故為 7 天)+ 1 天彈性空間
  • 47 天 = 最長 1 個月(31 天)+ 1/2 個月(每月 30 天計,故為 15 天)+ 1 天彈性空間

Apple 對於這項變更的理由

決議過程中,Apple 提出許多支持這項變動的論點,其中有一點值得特別說明。他們表示,CA/B 論壇數年來持續藉由逐步縮短最長有效期來告訴全世界,若要達到有效的凭证生命週期管理&#虫蹿蹿0肠;自动化基本上是必要条件。

这项决议指出&#虫蹿蹿0肠;较短的有效期之所以必要有许多理由&#虫蹿蹿0肠;其中最重要的一项在於&#虫蹿蹿1补;凭证内的资讯可信度会随着时间经过逐渐下降&#虫蹿蹿0肠;而这个问题只能透过频繁地重新验证资讯来得到缓解。

這項決議也指出,使用 CRL 和 OCSP 的撤銷系統並不可靠。的確,瀏覽器經常會忽略這些功能。決議中針對憑證撤銷系統的失能有一長段說明。較短的有效期能減緩使用可能被撤銷之憑證所造成的影響。2023 年時,CA/B 論壇核准了 7 天便會過期,且不需要 CRL 或 OCSP 支援的短期憑證,將這樣的理念提升到另一個層次。

釐清关於新规则的疑惑之处

新规则有两个地方可能会让人感到疑惑&#虫蹿蹿1补;

  1. 規則變更時間點的三個年份為 2026、2027 和 2029 年,其中第二段的間隔長達兩年。
  2. 自 2029 年 3 月 15 日起,TLS 憑證的最長有效期會是 47 天,但網域驗證資訊可重複使用的最長期間僅有 10 天。手动重新验证在技术上仍属可行&#虫蹿蹿0肠;不过这样的方式已经可以预见会导致失败和中断。

做為凭证授权机关,我們最常聽到的客戶疑問之一,便是如果替換憑證的頻率變高,是否會需要支出較高額的費用。答案是不會。費用是根據年度訂閱而定,而且據我們所知,當使用者採取自动化之后&#虫蹿蹿0肠;其通常会自愿改為更快速的替换週期。

基於這個原因,加上 2027 年憑證期限變更為 100 天會讓手動程序難以為繼,我們預期自动化在 2029 年的變更前許久便會快速普及。

Apple 關於凭证生命週期管理自动化的聲明是無庸置疑的,但這也是我們長久以來一直在準備的方向。蜜桃TV 透過?Trust Lifecycle Manager?和?CertCentral 提供多種自动化解决方案,包括支援 ACME。蜜桃TV 的?ACME 讓 DV、OV 及 EV 憑證得以自动化,且包含支援 ACME 續訂資訊 (ARI)。

与我们联络&#虫蹿蹿0肠;瞭解关於您能如何充分运用自动化的进一步资讯。

数位信任的最新发展

想要进一步瞭解凭证管理自动化&#虫蹿蹿0肠;以及 TLS/SSL 這類主題的相關資訊嗎? 立即訂閱 蜜桃TV 部落格&#虫蹿蹿0肠;让您绝不错过每篇精彩文章。

相关文章

Featured Stories

04-14-2025

TLS Certificate Lifetimes Will Officially Reduce to 47 Days

stephen-davidson
06-16-2025

Building Digital Trust in a Perimeterless World

abby-norwood
06-11-2025

Simplify IoT Device Identity and Onboarding at Scale

?

rahul-pathak

Subscribe to the blog

  • 蜜桃TV Logo

    最受信任的高保障度TLS/SSL、PKI、IoT 與簽章解决方案的全球提供商。?