到2029年新頒發的SSL/TLS證書最長有效期不超過47天
2025年4月12日,全球網域安全領域迎來了一項重要的變革。經過充分的討論和投票,CA/B論壇最終通過了關於SSL/TLS證書有效期縮短的提案。
注:4月11日CA/Browser Forum 完成對Ballot SC-081v3的最終投票,正式通過由 Apple 提出的憑證效期縮短方案。在表決過程中4家憑證使用端(瀏覽器業者)——Apple、Google、Mozilla、Microsoft ——全數投下贊成票。另一方面,在29家憑證頒發機構(Issuer)中,共有24票贊成、5票棄權,無任何反對票。
從2026年3月起,SSL/TLS證書的最大有效期將從現有的398天大幅縮短至 47 天,並計劃在2029年全面實行。
為什麼SSL/TLS憑證效期要縮短?
現行的公開信任(Public Trust)SSL/TLS 憑證最大有效期約 398 天(約13個月)。這是由CA/Browser Forum 基線規範(Baseline Requirements)自2020年起規定的。
憑證有效期越長,一旦私鑰洩露、憑證被濫用或加密算法過時,可能造成風險持續更久。短期憑證能減少這類安全風險,並鼓勵自動化更新流程。
最新規範將如何改變效期
根據CA/Browser Forum(憑證授權機構與瀏覽器論壇) 通過的提案(SC-081v3),SSL/TLS 憑證的最大效期將分階段縮減:
| 生效日期 | 最長效期 | 續訂頻率 |
|---|---|---|
| 現行至 2026/3/14 | 398 天 | — |
| 2026/3/15 起 | 200 天 | 大約 6 個月更新一次 |
| 2027/3/15 起 | 100 天 | 大約 3 個月更新一次 |
| 2029/3/15 起 | 47 天 | 每月更新一次 |
也就是說,到2029年3月15日起,公開信任的SSL/TLS憑證最多只能有47天有效期。
此外,網域控制驗證(Domain Control Validation, DCV)的「重用期限」也會同步大幅縮短(最終只剩約10天),強制更頻繁地重新驗證網域控制權。
影響與相關考量
安全性提高
短期憑證能減少TLS憑證被盜用或錯誤配置時的風險暴露窗口。
管理成本提高
這對企業、網站管理員或IT團隊來說意味著需要更頻繁地更新憑證;因此 自動化工具(如 ACME/Let’s Encrypt自動續期)將變得更重要。
許多大型CA(例如 DigiCert、Sectigo、GoDaddy 等)與主要瀏覽器(Google、Apple、Mozilla、Microsoft)均支持這一規劃。
未來 47 天效期會帶來什麼?
好處
降低私鑰外洩風險
降低憑證濫用時間
強制企業現代化部署
壓力
| 問題 | 真相 |
|---|---|
| 不能手動? | 技術上能,管理上不合理 |
| 內網要改? | 是,否則會成為資安黑洞 |
| 要 DevOps? | 小型可簡化,大型必須 |
重點總結
2029年後不自動化幾乎不可行
ACME已經是全球標準
多數雲端平台早已自動化
現在開始導入最安全
