2024年8月，蘋果公司提議修改CA/瀏覽器論壇服務器證書工作組的SSL服務器證書基線要求。該提議概述了大幅縮短SSL證書有效期以及用于驗證證書內信息的重用期的時間表。

這樣的提議被稱為“提案”，自其被提出以來，這一提案引發(fā)了大量討論。該提案可能會隨著討論的繼續(xù)而發(fā)生變化，但以下是我們迄今為止所了解到的情況。

提案內容

蘋果公司提議的變化將在未來幾年逐步實施，既縮短證書的有效期也縮短驗證重用期。以下是這些變化的詳細信息。

SSL證書有效期的縮短

目前SSL證書的最長有效期為398天。

• 自2026年3月15日起：有效期不應超過199天，并不得超過200天。

  
  

• 自2027年3月15日起：有效期不應超過99天，并不得超過100天。

  
  

• 自2029年3月15日起：有效期不應超過46天，并不得超過47天。

  
  

  驗證重用期限制

驗證重用期是指用于頒發(fā)證書的信息（包括組織身份和域名所有權）可被視為有效的期限。

• 使用者身份信息（OV與EV證書） 

  
  

• 目前：驗證重用期最長為825天。

  
  

• 自2026年3月15日起：最長重用期縮短至398天。

這會影響組織驗證（OV）和擴展驗證（EV）SSL證書，這類證書的組織詳細信息必須被更頻繁地重新驗證。

• 域名與IP地址驗證

  
  

• 目前：重用期最長為398天。
  

  
  

• 自2026年3月15日起：重用期不得超過200天。

  
  

• 自2027年3月15日起：重用期不得超過100天。

  
  

• 自2029年3月15日起：重用期不得超過10天。

這對SSL證書所有者而言意味著什么

給證書所有者的信息很明確：要立即開始為您的證書生命周期管理實現自動化。隨著這些最新時間框架的生效，手動流程將不可持續(xù)，而且?guī)缀蹩隙〞е峦C。

若要保持領先，您的組織應該優(yōu)先考慮實現以下領域的SSL自動化：

• SSL證書請求
  

  
  

• 使用者可選名稱（通常是域名）的驗證

  
  

• SSL證書安裝，以確保相關系統(tǒng)的可用性

DigiCert ONE平臺提供所有這些開箱即用的功能，并支持ACME協議，即使在復雜的環(huán)境中也能簡化自動化

DigiCert? Trust Lifecycle Manager提供對證書使用、失效日期和CA分布的實時洞察，幫助您大規(guī)模管理數字信任。

現在正是做準備的時候

蘋果公司提案中最引人注目的變化之一是DNS和IP驗證的最長重用期縮短。雖然到2029年該提議的證書有效期會降至47天，但DNS/IP驗證的重用期將被限制在10天內，這是一個更為嚴格的時間窗口。

2029年聽起來可能很遙遠，但這些變化要求組織對管理證書的方式做出重大改變?，F在正是開始為證書生命周期管理的各個方面實現自動化的時機，這樣貴組織就能為此做好準備。

如果該提案被通過，這些縮短的有效期將成為DigiCert和所有其他公共證書頒發(fā)機構（CA）的強制性要求。但我們在此提供幫助——現在就與我們聯系，開始根據您的需求量身定制解決方案。