购买之前页面显示有效期一年 为什么签发之后的证书有效期只有 6个月
这是由 CA/B 论坛(CA/Browser Forum)自 2020 年 9 月 1 日起强制实施的 Baseline Requirements(BR)第 3.3.1 条 规定所致:所有公开信任的 ssl证书 最长有效期不得超过 398 天(约 13 个月),而自 2023 年 9 月 1 日起,该上限进一步收紧为 397 天;但更重要的是,主流公共信任 CA(如 Lets Encrypt、Sectigo、Digicert、Geotrust 等)在实际策略中普遍将默认签发时长设为 397 天 ≈ 13 个月 或更短——而部分 CA(尤其是免费或自动化签发渠道)为兼顾兼容性与吊销响应能力,选择统一签发 180 天(6 个月) 有效期证书。
你所见“购买页面显示一年”,通常是销售页对「服务周期」或「订单保障期」的通俗表述(例如支持一年内免费重签),而非证书本身的 NotAfter 时间戳。证书实际有效期以签发时 validity period 字段为准,该字段由 CA 私钥签名固化,不可修改。例如:免费ssl证书(如 Let's Encrypt)严格遵循 90 天有效期策略(可自动续期),而部分商业 CA 的 DV SSL证书 在控制台下单时虽标称“1 年服务”,实际签发仍为 397 天或按批次策略设为 180 天。
需要注意的情况
- 浏览器(Chrome、Firefox、Safari)仅校验证书链中 leaf 证书的
notBefore/notAfter,不校验订单页面描述;若证书到期前未及时续期,将触发 NET::ERR_CERT_DATE_INVALID 错误。 - 部分 CA 提供「长期有效期选项」(如 Digicert 的 2–3 年 OV/EV SSL证书),但需人工审核且不适用于自动化接口;此类证书必须通过 OV SSL证书 或 EV SSL证书 类型申请,且受各操作系统根存储策略约束(如 Apple 自 macOS Ventura 起已拒绝信任超过 398 天的证书)。
- 国密SSL证书(如 国密SSL证书)不受 CA/B BR 约束,其有效期由国内 CA 自行设定(常见为 1–3 年),但仅在启用国密套件的客户端(如特定政务浏览器)中被识别。
京公网安备11010502031690号
网站经营企业工商营业执照
