为什么SSL证书越来越短？从 90 天到 47 天，CA 在怕什么？​

有些变化总是悄然而至，比如 SSL 证书的“寿命”正在越来越短。还记得十年前吗？一张证书能用三年甚至五年，几乎不用操心。但现在，行业标准已经从398天、90天，一路压缩到未来可能只剩47天。三年前我们嫌90天太短，而今天，90天反而成了“长周期”的代名词。

为什么证书非变短不可？

背后是安全逻辑的彻底转变。长周期证书在快速变化的网络环境中漏洞百出：私钥可能泄露、企业信息会变更、域名所有权也会转移。更关键的是，传统的证书吊销机制（比如OCSP）效果有限，与其依赖不可靠的撤销检查，不如让证书自然过期——周期越短，风险窗口越小。

身边不少老站长都记得，当时买张三年期的证书，基本不用操心续期的事，有时候服务器都换新了，旧证书还在有效期内。但慢慢大家发现不对劲 —— 互联网安全要求越来越高，安全标准在变，加密算法可能过段时间就不安全了，就连域名所有权都可能易主，三年时间里，这些关键信息能一直不变吗？基本不可能。

所以苹果、谷歌、Mozilla 这三大浏览器厂商先站出来，推动缩短证书有效期。2015 年把最长有效期定在 3 年，2018 年减到 2 年，2020 年直接强制改成 398 天（差不多 13 个月）。像 Let’s Encrypt 更激进，直接把证书周期定成 90 天。

现在 CA/B Forum（就是制定 SSL 证书行业标准的那个组织）又通过了新提案，以后要分阶段把所有公开信任的 SSL 证书最长有效期降到 47 天。别觉得这个数字是随便定的，其实是算过的 —— 大概就是 “一个月正常用，半个月提前准备续期，再留 1 天应对突发情况”，既保证了安全周期够短，也给咱们留足了续期的时间。

行业里的人都说：“缩短周期不是想折腾大家，是怕安全风险越积越多。”

周期越短，真的越安全吗？

答案是肯定的。短周期大幅降低私钥泄露后的滥用时间，也迫使信息验证更及时。但更重要的是，它倒逼整个行业放弃“手动续期”的旧习惯，转向全自动化运维。如果流程仍依赖人工点击，47天的周期将变成运维噩梦；反之，如果实现自动续期，短周期反而无形无感。

自动化已成为必选项。例如，很多运维工具已支持证书自动巡检和续签。系统每天检查有效期，不足30天时自动完成验证、申请和部署。在这种机制下，周期长短不再影响体验，用户只需确保验证通道畅通，证书便会“静默更新”。

未来，证书周期可能会进一步缩短至24小时甚至更短。但当自动化成为基础设施，短周期不再带来焦虑，而是化作持续安全的背景节奏。证书正在变成像水电一样“即用即新”的基础服务——我们不再关心它何时过期，只确认它始终有效。