SSL证书将缩短有效期至47天，我们应该怎么办？

SSL证书对大多数站长来讲应该都不陌生，SSL证书是网站建立HTTPS链接的重要东西，只有部署了可信的SSL证书，才会在浏览器导航栏里提示可信的一把小锁。

2011年8-11年有效的SSL证书被由认证机构和浏览器软件供应商组成的认证机构/浏览器论坛CA/B将证书缩短到了5年，后来到了2015年，又由原来的5年缩短至3年，再到了2018年缩短为了2年。个人觉得8-11年包括5年确实比较长，毕竟很多情况下，域名大多数个人都是一年一续，不会一次性（企业一般会购买较长时间）。再到2019年，再次提出将SSL证书的有效期缩短至1年。虽然最后被否决，但是苹果、谷歌、微软、Mozilla和Opera等浏览器制造商的支持，苹果率先宣布不再信任超过398天的证书，也就是现在很多SSL厂商都签发一年零一个月的SSL证书，Google等厂商也紧接着也这样做了。

时间来到了2025 年 4 月 12 日，经过充分的讨论和投票，CA/B 论坛最终通过了关于 SSL/TLS 证书有效期缩短的提案。说是为了数据安全，降低对CRL和OCSP（两个都是在线验证SSL证书有效的方式，如果SSL证书被吊销，浏览器可以通过这两种方式获取到吊销信息），并确保在发生潜在安全事件时能够迅速响应。

将逐步缩短SSL证书的有效期至47天，具体规划：

1. 2026年3月15日之前，允许SSL证书最大的有效期为398天（一年一个月）

2. 2027年3月15日之前，允许SSL证书最大的有效期为200天（约7个月）

3. 2029年3月15日之前，允许SSL证书最大的有效期为100天（约3个半月）

4. 2029年3约15日之后，签发的证书有效期仅为47天（约一个半月）

一个小疑问：那么随着时间的缩短，SSL证书的价格也会降低吗？还是SSL厂商开始以每年订阅的方式卖证书？

我们该怎么办？

个人觉得，一年有效期真的省了很多事情，不用实时关注SSL证书的有效情况，不用一直担心SSL证书是否过期，一张通配符，基本上就满足了90%的需求。通配符到期，再买一张通配符，一年一换。

但是现在已经确定了时间会缩短，那么建议接下来可以采取以下措施，防止SSL证书过期。

如果你想尽量使用长日期的SSL证书，那么建议在对应的CA机构调整签发时长之前，签一张最长时间的SSL证书，这样可以暂时缓解SSL证书的到期。

但这毕竟不是长久之计。

建议还是使用SSL证书自动化申请部署工具，包括Certd、AllinSSL等等。这样可以实现证书自动化签发部署，也可以很好避免证书到期导致的风险。

不过很多付费SSL证书还是需要使用厂商定制的ACME客户端（毕竟他们签发的是要给钱的），注意检查，做好站点监控。

结尾

无论是因为何种原因，SSL证书时长缩短的结局已经是这样了，我们普通人也无法过多改变，做好自己站点的监控吧，谨防过期，说个趣事，刚刚访问dns.com官网，他们的证书都过期了，可能是dns.com被卖出去了，也暂时不会为它投资SSL证书了。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/