ssl证书有效期
自2024年9月1日起,所有公开信任的 SSL证书(即由主流浏览器根存储信任的证书)最长有效期被强制限制为398天(约13个月),该策略由CA/B论坛(CA/Browser Forum)通过Ballot SC-026正式确立,并已由Apple、Microsoft、Google、Mozilla等根程序全面执行。
此限制适用于所有类型:DV SSL证书、OV SSL证书、EV SSL证书,以及国密SSL证书(若其根证书已纳入国际根库并用于HTTPS)。但不适用于私有PKI签发的内网证书、代码签名证书、邮件证书(S/MIME)或客户端证书。
实际部署中,多数CA默认签发398天证书;部分CA(如Let’s Encrypt)仍维持90天有效期以强化自动续订实践;而国内部分合规CA(如CFCA、华测国密CA)在纯国密SM2证书场景下,可依据《GM/T 0015-2023》提供最长5年有效期,但该证书需搭配国密SSL协议栈及专用浏览器/客户端方可建立完整信任链,无法在Chrome/Firefox等标准浏览器中显示绿色锁形图标。
需要注意的情况
- 证书到期前未及时续订将导致浏览器出现NET::ERR_CERT_DATE_INVALID错误,HTTPS连接中断,SEO排名下降,支付接口失效等连锁问题。
- 自动化续订(如ACME协议)成为运维刚需;手动管理多域名证书时,建议使用ssl证书工具集中监控剩余有效期与部署状态。
- 部分旧系统(如嵌入式设备、IoT固件)因无法高频更新证书,正转向采用长期根证书+短时效中间证书的分层策略,或启用OCSP Must-Staple+短CRL分发周期缓解风险。
京公网安备11010502031690号
网站经营企业工商营业执照
