见证历史!SSL证书有限期将缩减至47天,我们应该如何应对?
4 月 13 日, CA/Browser Forum(简称 CABF)通过了一项名为 SC-081 的提案,计划逐步将公开信任的 SSL 证书的最长有效期缩短至 47 天。
这一变更引起了诸多网友的讨论,而这些讨论中也存在着一些尖锐的声音。
的确,这样的调整给我们带来了不便。
可是,这并不是第一次证书有效期被缩短了。
SSL 证书最初没有严格的有效期限制,最长可达 5 年甚至 10 年。这一时期,证书的签发和管理相对宽松,但随着网络安全威胁的增加,长有效期的风险逐渐显现。
2012年,CABF 首次将证书最长有效期限制为 60 个月(5 年),旨在平衡安全性与管理成本。
2015年,进一步缩短至 39 个月(约 3 年),以应对加密算法更新和证书滥用风险。
2018年,谷歌等浏览器厂商推动下,有效期缩短至 825 天(约 2 年),要求 CA 机构更频繁地验证域名所有权。
2020 年,苹果单方面宣布仅信任有效期不超过 398 天(约 1 年)的证书,随后 Chrome、Firefox 等主流浏览器跟进。这一政策迫使 CABF 通过决议,将全球证书有效期统一缩短至 1 年,以减少证书泄露或错误签发的潜在危害。
2025 年 4 月,CABF 通过 SC-081 提案,计划分阶段将证书有效期缩短至 47 天:
2026 年 3 月 15 日起:最长有效期降至 200 天;
2027 年 3 月 15 日起:进一步缩短至 100 天;
2029 年 3 月 15 日起:最终固定为 47 天。
同时,域名验证数据的重用期限也大幅缩短,例如 SAN(多域名)验证数据重用期从 398 天减至 10 天,要求更频繁的身份审核。
具体的调整可以参考下面的表格:
面对即将到来的变革,我们又有什么好的应对方法呢?
抛弃传统手动管理模式,拥抱自动化工具。
尤其是对于企业和开发者来说,高频次的证书更新(未来每47天一次)和严苛的验证规则(如SAN域名每10天重新审核),靠人工操作几乎不可能完成——稍有疏漏就可能导致证书过期、服务中断,甚至被浏览器标记为“不安全”。
这时候,开源免费的自动化工具的优势就体现出来了:灵活、可控、免费,还能根据需求定制化开发。这里推荐一个专门应对 SSL 短有效期时代的宝藏开源项目—— ALLinSSL 。
Github项目地址:
https://github.com/allinssl/allinssl
它能帮你解决从申请、部署到续签的所有麻烦:
一键对接主流 CA:支持 Let’s Encrypt、ZeroSSL 等免费CA,也能集成 PositiveSSL、Sectigo 等商业 CA,不管你用哪种证书,都能通过简单配置自动签发。
全场景自动化续签:内置自动化部署工作流和智能监控,到期前 30 天自动触发续签,无需人工干预。
多平台无缝部署:支持 Linux、Docker 等环境,能直接将新证书推送到 Nginx、Apache 等服务器和容器,甚至能对接云平台(如阿里云、腾讯云)的对象存储和 CDN,真正实现“签发即部署”。
风险预警不操心:自带邮件/钉钉/企业微信通知,一旦发现证书即将过期、验证失败或私钥异常,立刻报警提醒,比人工巡检更及时。
最关键的是,ALLinSSL 完全开源免费,代码在 GitHub 上公开,企业可以根据自身需求修改底层逻辑,比如定制化验证流程、对接内部系统,甚至开发专属的管理界面。
对于中小团队或个人开发者来说,直接使用官方提供的 Docker 镜像,最快 2 分钟就能完成部署,几乎零学习成本。
以苹果音乐 2024 年 11 月证书过期事件为例:当时苹果部分服务器因 SSL/TLS 证书未及时续期,导致中国区用户无法正常播放音乐,甚至出现 “此连接非私人连接” 的安全警告。尽管苹果此前大力推动证书有效期缩短至 45 天,但自身却因依赖手动管理导致翻车 —— 其使用的 180 天有效期证书未及时更新,暴露了传统运维模式的脆弱性。
如果当时苹果采用了自动化方案,系统会在证书到期前自动续签,确保 SSL 证书始终有效。这种自动化机制不仅能避免服务中断,还能通过多服务器负载均衡实现 “零停机” 更新,让用户完全感知不到证书轮换的过程。
当然,ALLinSSL 并非唯一选择,但它证明了在即将到来的 SSL 证书短有效期时代,自动化工具将会是最佳的选择。我们与其抱怨调整带来的不便,不如让自动化工具帮我们把不便解决。
毕竟,当证书有效期缩短到 47 天时,手动操作就像用古老的算盘对抗先进的计算器,注定会被淘汰。而开源项目的存在,正是为了让每个企业和开发者,都能以最低成本迈入“自动化安全管理”的新赛道。
如果你正在为证书管理发愁,不妨试试 ALLinSSL,让代码替你“打工”
把精力留给更有价值的业务创新
这才是应对变革的最优解
