苹果计划将数字证书有效期缩短至 45 天，以提高安全性。目前，数字证书的有效期最长为 398 天，但苹果认为更短的有效期可以降低安全风险。这一提案可能会在未来几个月内由 CA / 浏览器论坛成员进行投票。如果获得通过，苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。其他浏览器，例如谷歌 Chrome，也可能会跟进。缩短证书有效期虽然可以提高安全性，但也可能给企业系统带来麻烦，因为并非所有网站和企业都可以轻松部署自动化续签流程。此外，缩短证书有效期也将增加系统管理员的工作量，尤其是管理多个网站的情况下。目前还不清楚 CA 机构的态度，但苹果作为浏览器开发商具有较强的影响力，CA 机构可能不得不同意苹果的提议。苹果提出的建议时间表如下：2025 年 9 月后，新签发的 SSL/TLS 数字证书有效期缩短至 200 天；2026 年 9 月后，新签发的 SSL/TLS 数字证书有效期缩短至 100 天；2027 年 4 月后，新签发的 SSL/TLS 数字证书有效期缩短至 45 天；2027 年 9 月后，域控验证技术 (DCV) 的有效期缩短至 10 天。

🤔 苹果计划将数字证书有效期缩短至 45 天，以提高安全性，目前最长有效期为 398 天。

✅ 缩短证书有效期可以降低安全风险，因为证书对应的私钥泄露仍然可以用来发起中间人劫持。

⚠️ 缩短证书有效期可能会给企业系统带来麻烦，因为并非所有网站和企业都可以轻松部署自动化续签流程，并且会增加系统管理员的工作量，尤其是管理多个网站的情况下。

⏳ 苹果提出的建议时间表如下： 到 2025 年 9 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 200 天 到 2026 年 9 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 100 天 到 2027 年 4 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 45 天 到 2027 年 9 月后：将域控验证技术 (DCV) 的有效期缩短至 10 天

SSL/TLS 数字证书是现代互联网的安全基石，目前超过 95% 的网站都已经采用 HTTPS 加密连接以确保数据在服务器与浏览器传输过程中不会被窃取。

而数字证书以前有效期最长可以达到 8 年，但数字证书也存在潜在的安全风险，那就是证书对应的私钥泄露，这仍然可以用来发起中间人劫持。

基于以上原因目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天，也就是每 398 天网站或服务必须更新数字证书才能继续使用。

然而苹果和谷歌都希望继续缩短数字证书有效期以提高安全性，其中谷歌希望将数字证书有效期缩短到 90 天，而苹果更激进，现在苹果竟然想将数字证书有效期缩短到 45 天。

苹果的这项提案为投票表决草案，很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票，如果获得大多数成员赞成，则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。

当然其他浏览器例如谷歌 Chrome 可能也会及时跟进，到时候 SSL/TLS 证书将逐渐向 45 天过渡，这确实可以提高安全性但也会给复杂的企业系统带来麻烦。

为什么缩短到 45 天可能会引起麻烦：

尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签，但并非每个网站和企业都可以轻松部署自动化续签流程，尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。

在 Reddit 论坛上有数百名系统管理员抱怨苹果的这项提议，因为缩短证书有效期后剩余的工作都要系统管理员承担，尤其是如果管理多个网站那么工作量将会显著提升 (假如无法实现自动化续签)。

目前还不清楚 CA 即数字证书颁发机构们的态度，苹果作为浏览器开发商实际上强势于 CA 机构的，哪怕苹果一意孤行那 CA 机构也必须同意否则证书将无法兼容 Safari 浏览器。

苹果提出的建议时间表如下：

到 2025 年 9 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 200 天

到 2026 年 9 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 100 天

到 2027 年 4 月后：将所有新签发的 SSL/TLS 数字证书有效期缩短至 45 天

到 2027 年 9 月后：将域控验证技术 (DCV) 的有效期缩短至 10 天