按照CA/B 论坛的 SC-081v3提案和CSC-31提案将于2026年3月开始正式生效,Digicert计划从2026年2月25日起先调整公有TLS/SSL证书和代码签名证书的最长有效期:将公有SSL证书的最长有效期从397天缩短至199天,同时代码签名证书的最长有效期也从39个月缩短至459天。
以下是详细情况:
Digicert已正式宣布将于北京时间2026年2月25日起调整公有TLS/SSL证书有效期,最长有效期从397天缩短至199天,同时域名验证数据重复使用期同步缩短至199天。
北京时间2026年2月25日起及之后签发的所有代码签名证书,最长有效期均不得超过新的459天。受影响的证书包括OV代码签名证书和EV代码签名证书。
一、有什么变化及影响?
1.对SSL证书的影响
目前,Digicert颁发的公有SSL证书最长有效期为397天。自北京时间2026年2月25日起,Digicert颁发的SSL证书最长有效期将为199天。199天的最大有效期是行业向47天SSL证书过渡的多阶段计划中的第一阶段。
新证书申请:2026年2月25日起,通过任何渠道提交的公有SSL证书申请,系统将自动调整证书最大有效期为199 天。
证书签发:2026年2月25日及之后,签发的SSL证书有效期均不超过199天。2026 年 2月25日前提交但未完成签发的申请,将按新有效期签发。
现有证书:2026年2月25日截止日期前已签发的、有效期超过199天的证书不受影响,这些证书在到期前将继续保持可信状态;临近到期续期时,将按199天有效期签发新证书。
重签与续期:2026年2月25日截止日期前未签发的397天证书,订单本身仍保留397天有效期,但证书重签或续期时,新证书的最长有效期为199天。
2.对代码签名证书的影响
目前,Digicert可以颁发最长有效期为39个月的公有代码签名证书。自北京时间2026年2月25日起,Digicert将颁发最长有效期为459天的代码签名证书。
新证书申请:2026年2月25日起,停止接受2年和3年代码签名证书的申请,所有新申请的代码签名证书最长有效期不超过459天。
证书签发:2026年2月25日起,签发的公有代码签名证书最长有效期为459天。
现有证书:2026年2月25日截止日期之前颁发的有效代码签名证书,在到期前仍可继续使用。
证书续期:2026年2月25日及之后,续期的代码签名证书最长有效期不超过459天。
证书重签:对现有的2年、3年或39个月公有代码签名证书,2026年2月25日之前重签,新证书的有效期最长可达39个月(但不能超过订单有效期);25日及之后重签,如果原始证书的剩余有效期超过允许的459天最长有效期,我们将对您重新颁发的证书和订单进行截断处理,且不予退款。
二、变更依据与行业背景
CA/B 论坛 SC-081v3 提案:
该提案规定了SSL证书有效期分阶段缩短的时间表:
2026 年:最长有效期缩短至 200 天(Digicert 实际执行199天,避免超出允许值)。
2027 年:缩短至100天。
2029 年:最终缩短至47天。
目的:通过提高证书更新频率,降低长期证书被滥用或泄露的风险,增强网络安全。
三、对企业的影响与应对建议
1.核心影响
管理成本增加:证书有效期缩短将导致企业需更频繁地申请、续期和部署证书,增加运维压力。
人为错误风险上升:手动管理流程可能因操作失误导致证书过期或配置错误,引发服务中断。
合规性挑战:需确保所有证书符合新有效期要求,避免因证书失效导致业务中断或合规问题。
2.应对策略
提前申请长有效期证书:
对于核心业务系统或证书更换周期较长的关键场景,建议在 2026 年2月25日前申请397天有效期的 SSL 证书,为过渡预留充足时间。
优化域名验证流程:
定期梳理域名验证状态,避免因验证过期导致证书申请失败;对于高频验证需求,可考虑使用支持批量验证的工具或服务。
关注代码签名证书调整:
代码签名证书最长有效期也将从 39 个月缩短至 459 天(约 15 个月),需同步调整代码签名管理策略,确保软件分发安全。