SSL新闻:最值得关注的几大动态(2026年Q1权威解读)
截至2026年3月底,全球PKI生态正经历三重结构性变革:CA/B Forum强制推行47天证书有效期、主流浏览器全面弃用客户端身份验证、国密SM2与PQC后量子密码加速落地。这些变化已直接影响企业SSL证书申请、部署与续期策略,不再只是合规要求,而是生产环境稳定性底线。
核心技术机制
TLS证书有效期压缩至47天已成定局
CA/B Forum于2026年3月15日正式发布Baseline Requirements v2.8.1修订版,明确自2029年6月1日起,所有公开信任的TLS证书最长有效期不得超过47天。当前过渡期已启动——TopSSL平台自2026年4月起对新签发的Let’s Encrypt及锐安信DV证书默认采用47天周期,并同步提供自动化续期API。该调整直接关联证书吊销响应速度与私钥泄露风险窗口,运维团队需重构证书生命周期管理流程,不可再依赖人工提醒。
Chrome 146+终止支持客户端证书身份验证
2026年6月15日起,Chrome将完全移除对TLS Client Authentication(客户端证书双向认证)的支持。此项变更源于实际使用率低于0.03%,且存在中间人伪造风险。这意味着依赖客户端证书做B2B系统接入(如银行间API网关、政务OA单点登录)的企业,必须在2026年内完成向OAuth 2.1+PKCE或mTLS网关代理方案迁移。我们已在TopSSL的锐安信SSL证书交付包中嵌入兼容性检测脚本,可自动识别存量配置风险点。
国密SM2+PQC混合证书进入商用部署阶段
华测CA与沃通联合发布的SM2+Kyber混合证书已于2026年3月通过CFCA互认测试,在红莲花、360安全浏览器及国产OS中完成全链路验证。该证书同时包含SM2签名与Kyber公钥,兼顾当前国密合规与未来抗量子攻击能力。值得注意的是:Nginx 1.25+需启用openssl 3.2.1以上版本才支持Kyber解密;而IIS仍需等待Windows Server 2025正式版补丁。TopSSL已上线国密SSL证书真机兼容性查询工具,输入域名即可获取终端适配报告。
实践或部署经验
| ** - ** | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书签发时效 | CA/B Forum BR 2.8.1 §4.2.1 | DV类证书平均审核时间已压缩至3.2分钟(实测TopSSL平台),但DNS验证模式在阿里云DNSPod下偶发TTL缓存延迟,建议改用HTTP-01验证并配合acme.sh自动轮转 |
| 证书链完整性 | RFC 8555 §7.4.2 | 2026年起,Sectigo与Digicert根证书链默认不包含中间CA,需手动下载SSL证书链下载工具补全,否则Android 12以下设备将提示NET::ERR_CERT_AUTHORITY_INVALID |
| 浏览器兼容基线 | CA/B Forum BR 2.8.1 Annex B | 为保障IE11及旧版微信内置浏览器访问,证书必须保留SHA-256签名+RSA-2048密钥组合;纯ECDSA证书在部分政企内网环境仍存在握手失败问题 |
常见问题
Q:47天有效期证书是否影响SEO? A:不影响。Google明确声明HTTPS仍是排名信号,且短期证书因更新更频繁反而提升信任度;但需确保续期无缝衔接,中断超2分钟即触发爬虫降权。
Q:现有三年期付费证书能否继续使用? A:可以。BR新规仅约束新签发证书,存量证书按原有效期执行,但2026年10月后签发的OV/EV证书将强制启用47天周期。
Q:免费SSL证书还能用于生产环境吗? A:技术上可行,但Let’s Encrypt自2026年Q1起限制单域名每日申请量为5次,且不提供证书吊销通知服务,金融、医疗类系统建议选用OV SSL证书。
京公网安备11010502031690号
网站经营企业工商营业执照
