行业范围内的SSL/TLS 证书续期窗口将于2026年3月15日缩短:最长有效期从398天降至200天,续期周期减半。SSL.com将于2026年3月11日开始颁发200天有效期的证书。 您的企业是否已做好应对 200 天证书截止日期的准备?
什么改变?
2026年春季起,SSL.com于3月11日或之后颁发的证书必须符合新的200天最长有效期规定。这意味着您需要续订证书的频率将翻倍,如果没有合适的工具,原本就耗时的过程将变得几乎难以管理。
证书有效期缩短的趋势还将继续,100 天和 100 天的证书将成为主流。 最终,到2029年3月15日将推出47天有效期的证书。随着数字证书生命周期缩短的趋势加速,各组织现在就需要做出调整以保持领先地位,自动化已不再是可选项。
对于仍然采用人工管理证书的企业而言,数字证书生命周期的缩短可能会带来实际的运营风险。而对于已经使用自动化流程的企业来说,这仅仅是安全形势不断演进的必然结果。
SSL 的 ACME 解决方案如何帮助您准备 200 天数字证书
这就是SSL的用途所在 ACME(自动化证书管理环境)协议支持 赋予您竞争优势。ACME 可实现证书的全自动颁发、续期和安装,无需人工干预,并确保您的证书在无需人工监督的情况下始终保持有效。
以下是使用 SSL.com 进行自动化证书管理所能获得的优势:
- 零接触续订配置完成后,ACME 会自动处理证书续期,无需手动操作。 CSR 证书的生成、验证或安装均按时完成。您的证书每次都会按计划续期。
- 无缝集成ACME 可与 cPanel、Plesk、Kubernetes 和云基础设施等流行平台集成,直接融入您现有的工作流程,而无需对您的环境进行彻底更改。
- 可扩展性无论您管理的是十个证书还是上万个证书,ACME 都能轻松扩展。随着您的基础架构不断增长,您的证书管理不会变得更加复杂——它始终运行良好。
- 降低停机风险自动化功能可避免证书过期带来的意外情况。无需再在周末紧急续订证书,也无需再收到关于网站安全警告的恼人邮件。
- 面向未来的方法当行业转向 100 天或 47 天的证书时,您已经拥有了处理更短证书有效期而不会中断业务的基础设施。
立即联系 SSL,开始实现证书管理自动化。.我们基于 ACME 的解决方案将帮助您顺利度过 200 天的过渡期,并确保您的业务面向未来。
为什么会发生这种情况?
需要注意的是,这并非单个证书颁发机构(例如 SSL)的决定,而是整个行业的强制性规定。 CA/浏览器论坛(CABF)该行业机构由证书颁发机构、浏览器厂商和操作系统提供商组成。 CABF设定了基准要求 用于公共可信的 SSL/TLS 证书。
缩短证书有效期的理由很简单:
- 增强的安全性限制证书有效期可以缩短证书被盗用或误签时的风险暴露时间。这就像更频繁地更换锁一样:钥匙流通时间越短,风险就越低。
- 提高密码敏捷性证书有效期缩短使得采用新的算法和安全标准更加容易。随着量子计算威胁的出现,快速轮换证书的能力将变得更加关键。
- 更严格的验证实践更频繁的续期意味着更定期的域名和组织验证,从而确保证书所有者保持合法性和授权性。
虽然这些优势增强了互联网的整体安全性,但也给尚未采用自动化技术的企业带来了运营方面的挑战。转向200天有效期的数字证书会使续订次数、验证要求以及人为错误的可能性翻倍。
手动证书管理的真实成本
让我们坦诚地谈谈在 200 天期限内手动管理证书是什么样子:
- 持续更新周期您的续订频率将增加一倍以上,从而形成一个持续的循环。 CSR 生成、验证、安装和测试。
- 证书过期风险较高随着续费期限的缩短,容错空间也随之消失。错过一次续费就可能导致网站宕机、API故障、安全警告吓跑客户,甚至可能违反合规性规定。
- 团队倦怠您的 IT 和 DevOps 团队将花费更多时间管理证书,而减少用于战略举措的时间。证书救火将成为常态而非例外。这也会导致错误率上升。
解决之道并非增加人手或延长工作时间,而是采用自动化工具来处理证书的整个生命周期。
现在就开始准备:2026年3月比你想象的更近了
在截止日期前,SSL.com 将自动更新我们的证书配置文件,以确保其符合即将生效的证书生命周期变更。此外,现有客户可以申请补发证书,以覆盖其年度购买的剩余期限。
现在就拥抱自动化的组织将顺利转型。而那些拖延的组织则会面临混乱、风险增加以及因证书过期而导致的业务中断。
好消息:您可以在 2026 年 3 月 11 日之前采取行动。SSL.com 的 ACME 解决方案现已推出,让您有时间在截止日期前测试和完善自动化工作流程。
立即行动。确保您已为200天的证书有效期做好准备。了解SSL.com的ACME解决方案如何实现证书管理自动化、保障您的业务安全并降低运营风险。
其他键 CABF 基线要求 2026年3月15日变更:
| 合规 | 段(S) | 摘要说明(详情请参阅全文) |
| 2026-03-15 | 3.2.2.4 | 必须对所有与主网络域授权或控制验证相关的 DNS 查询执行回溯到 IANA DNSSEC 根信任锚的 DNSSEC 验证。 |
| 2026-03-15 | 3.2.2.4 | CA 不得使用本地策略禁用与域授权或控制验证相关的任何 DNS 查询的 DNSSEC 验证。 |
| 2026-03-15 | 3.2.2.8.1 | 必须对主网络视角执行的与 CAA 记录查找相关的所有 DNS 查询执行回 IANA DNSSEC 根信任锚的 DNSSEC 验证。 |
| 2026-03-15 | 3.2.2.8.1 | CA 不得使用本地策略禁用与 CAA 记录查找相关的任何 DNS 查询的 DNSSEC 验证。 |
| 2026-03-15 | 3.2.2.8.1 | 主网络视角观察到的 DNSSEC 验证错误(例如 SERVFAIL)绝不能被视为颁发许可证的许可。 |
| 2026-03-15 | 4.2.2 | CA 不得颁发包含以 IP 反向区域后缀结尾的域名的证书。 |
| 2026-03-15 | 4.2.1 | 主体身份信息验证最长数据重用期限为 398 天。 |
| 2026-03-15 | 4.2.1 | 域名和 IP 地址验证的最大数据重用期限为 200 天。 |
| 2026-03-15 | 6.3.2 | 用户证书的最长有效期为 200 天。 |
| 2026-03-15 | 7.1.2.4 | CA 不得使用预证书签名 CA 颁发预证书。CA 不得使用第 7.1.2.4 节中规定的技术受限预证书签名 CA 证书配置文件颁发证书。 |
