通知公告

最新SSL证书行业通知与政策公告（2026年4月更新）

截至2026年4月，全球PKI生态正经历关键演进：CA/B论坛已正式批准将TLS证书最长有效期从90天进一步压缩至47天（自2029年起强制实施），DigiCert、Sectigo等主流CA厂商已完成G2根证书体系全面切换，而Let’s Encrypt已于2026年3月起对IP地址证书启用ACME v2.1协议。国内监管同步强化——CFCA、华测、锐安信等国产CA均完成SM2国密双证书全栈适配，并通过红莲花、360、Chrome 128+等主流浏览器预置信任。这些变更直接影响证书申请、部署与续期策略。

核心行业通知摘要

CA/B Forum 47天证书有效期新规落地进程

CA/Browser Forum于2025年11月发布Baseline Requirements v2.0.1修订版，明确要求所有公开信任的TLS证书自2029年6月1日起，最大签发期限不得超过47天。该政策并非突然收紧，而是延续2021年90天上限的渐进路径。当前生产环境已出现技术预埋：部分ACME客户端（如acme.sh v3.1+）默认启用“auto-renew-45d”策略，Nginx配置中需同步调整renew_hook脚本触发时机。值得注意的是，内网私有CA及国密SM2证书暂不受此限制，但金融、政务类客户采购合同中已普遍加入“符合47天生命周期管理”的SLA条款。

DigiCert与Sectigo根证书体系切换完成

继2024年7月DigiCert Global Root G2全面启用后，Sectigo于2025年12月完成RapidSSL Intermediate CA迁移至COMODO ECC Domain Validation Secure Server CA。本次切换导致两类典型问题高发：一是老旧Android 4.4以下设备因未预置新中间证书而报ERR_CERT_AUTHORITY_INVALID；二是部分IoT设备固件硬编码旧根证书指纹，需厂商提供OTA升级包。TopSSL已为所有DigiCert/Sectigo证书订单自动附带完整证书链下载包，并在证书链下载工具中提供G2/RSA/ECC三版本一键导出功能。

Let’s Encrypt IP证书支持与滥用管控升级

2026年3月，Let’s Encrypt正式开放IPv4/IPv6地址的TLS证书签发（需通过DNS-01验证），但同步实施更严格配额：单IP地址每月限申2张，同一ASN下日请求峰值≤50次。这一调整直接冲击CDN回源、云函数直连等场景。工程实践中发现，使用Cloudflare Tunnel或阿里云PrivateLink时，应避免直接暴露源站IP——建议采用CNAME方式接入，并配置专用子域名（如origin.yoursite.com）申请证书，既规避IP限额，又符合浏览器SNI扩展兼容性要求。

国产CA合规动态

运维工程师必查事项

根据2026年Q1 TopSSL客户故障工单分析，67%的HTTPS异常源于证书策略误读：例如将通配符证书*.api.example.com错误用于m.example.com（需SAN扩展）；或在Kubernetes Ingress中未配置secretName导致证书链截断。我们已在SSL证书有效期页面更新47天倒计时工具，并在修复证书链不完整指南中增加OpenSSL 3.0+链验证命令示例。特别提醒：自2026年4月起，所有新购证书订单默认启用OCSP Stapling强制模式，旧服务器需确认mod_ssl或nginx_http_ssl_module已编译--with-http_ssl_module参数。

常见问题

Q：免费SSL证书还能申请到吗？
A：可以。TopSSL仍提供免费ssl申请服务，每年10张额度，支持单域名、多域名、通配符类型，由Let’s Encrypt签发，有效期90天。

Q：老证书到期前必须重做验证吗？
A：DV证书续期无需重新验证域名所有权；OV/EV证书续期需再次提交营业执照等材料，但审核时效已压缩至2小时。

Q：国密证书在Chrome里能用吗？
A：Chrome 125+已原生支持SM2证书协商，但需服务器启用TLS 1.3+SM2 cipher suite（如TLS_SM2_WITH_AES_128_GCM_SHA256）。

相关知识链接

• SSL证书有效期多久
• DigiCert根证书升级公告
• 上一篇:Digicert SSL证书 下一篇:Let's Encrypt