针对2026年SSL/TLS证书有效期缩短的政策,其核心是国际标准组织CA/B论坛通过的 《SC-081v3提案》 。该政策旨在通过提高证书更新频率来增强网络安全。
📜 具体政策与时间线
这一政策将分阶段实施,最终目标是在2029年将证书最长有效期缩短至47天。以下是具体的执行时间表:
生效日期(或之后签发的新证书) SSL/TLS证书最长有效期
2026年3月15日 缩短至 200天
2027年3月15日 缩短至 100天
2029年3月15日 缩短至 47天
需要特别注意的几点:
1、以签发日期为准:此政策仅影响在生效日期当天及之后签发的新证书。在此之前签发的长有效期证书,在到期前仍可正常使用。
2、不同CA的细微差异:主要证书颁发机构(CA)的最终执行日期和天数可能略有不同。例如:
DigiCert 将于 2026年2月25日 起将证书最长有效期设为 199天。
TWCA 将于 2026年3月9日 起将证书有效期设为 198天。
3、并非影响所有证书:国密(SM2)算法证书等暂时不受此政策影响。
💡 应对建议与行动方案
面对高频次的证书更新,手动管理将变得不可行。你的核心应对策略是 “全面拥抱自动化”。
1、立即梳理与评估
立即全面盘点你所有线上业务使用的SSL证书,记录其颁发机构、类型、有效期及关联服务器。重点关注在2026年3月前到期的证书,可以为后续过渡预留时间。
2、实施自动化续期与部署(核心动作)
手动更新已不现实,必须部署自动化工具。以下是根据不同技术环境的主要路径:
个人站长/通用服务器:使用 Certbot、acme.sh 等支持ACME协议的开源工具,可以免费(如与iTrustSSL配合)实现证书的自动申请、续期和部署。
企业级/Kubernetes环境:使用 MySSL 证书监控管理工具,它可以深度集成到K8s中,实现全自动化的证书生命周期管理。
使用云平台或面板:充分利用云服务商(如AWS ACM, 华为云CCM)或服务器管理面板(如cPanel AutoSSL) 内置的托管证书服务。这些服务通常能提供完全免维护的自动化管理。
3、强化监控与告警(安全网)
自动化工具并非100%可靠,必须设置独立的监控告警作为“安全网”。建议:
使用MySSL 证书监控服务,对证书过期进行外部独立监控。
设置多层告警,在证书到期前30天、15天、7天分别触发通知。
特别关注续期后的“部署漂移” 问题,即确保所有服务器节点、CDN节点上的新证书都已同步更新,这需要从全球多地发起探测才能发现。
4、测试与验证
在将自动化方案应用到生产环境前,务必在测试环境进行完整演练。验证从申请、续期到部署的整个流程,并模拟故障场景,确保你的自动化系统和监控告警能按预期工作。
💎 总结
总而言之,应对此次政策变化的关键是 “自动化+监控” 双管齐下。建议你现在就开始行动,在2026年3月政策生效前完成评估和自动化部署。
