一觉醒来，网站站长的天可能都要塌了。就在 4 月 12 日，CA/B 论坛   ( 负责管理 SSL/TLS 证书的行业组织 )   的服务器证书工作组投票通过了 SC-081v3 提案，从 2026 年 3 月 14 日开始，SSL/TLS 证书的有效期将会从目前的 398 天缩短至 47 天，SANs（域名 /IP）验证数据重复使用期限则会从 398 天缩短到 10 天。

据悉，《SC-081v3:   引入缩短有效期和数据重复使用期的时间表》是苹果方面在去年秋季向 CA/B 论坛提交的投票表决草案，其一经曝光就引发了网站站长的不满，但掌握话语权的 SSL/TLS 行业组织和浏览器厂商都坚定站在了苹果这边。此次 SC-081v3 提案最终的投票结果，也是 29 票赞成、5 票弃权、0 票反对。

事实上，这已经不是 SSL/TLS 证书的有效期第一次被缩短，它从最初的 10 年一步步缩减为 8 年、5 年、2 年、398 天，再到即将落地的 47 天。那么为什么 SSL/TLS 证书的有效期会不断变短？这其实是谷歌 Chrome、苹果 Safari 等浏览器巨头在作祟。

相比 SSL（安全套接层）和 TLS（传输层安全）证书被用于确保互联网通讯的隐私性和完整性，SSL/TLS 证书主要是用于验证网站的身份，从而确保浏览器访问的 web 服务器是 URL 对应的，同时对网站和访问者之间的数据传输加密，保护数据不被未经授权的第三方窃取。

在通过浏览器访问互联网的过程中，用户在浏览器中输入网址之后，浏览器首先会检阅目标网站的服务器里存储的 SSL/TLS 证书、以 " 验明正身 "。比如一个网站获得了 SSL/TLS 证书，那么其相应的 URL 中就会显示 HTTPS，以提示该网站是安全的。

一旦出现 TLC/SSL 证书无效，用户就会看到一条警告，声称连接不是私有的，这也就意味着浏览器无法与网站建立安全的加密连接。由于此时浏览器会警告用户访问该网站存在风险，所以为了安全考量，绝大多数网民都会放弃继续访问。

对于网站的站长来说，如果没有 TLC/SSL 证书或证书过期，也就意味着访问量暴跌，而没有访客则代表网站挂载的广告没有点击，会直接影响到收入。所以确保 TLC/SSL 证书的有效性，就关乎网站站长的收入。

显而易见，网站站长自然是希望 TLC/SSL 证书的有效期越长越好，必经频繁申请和更换 SSL 证书会给运维带来巨大的压力，人为错误导致的配置风险也将加剧。其实不仅仅是网站站长不希望 TLC/SSL 证书的有效期缩短，负责签发 TLC/SSL 证书有效期的数字证书认证中心（下文将简称为 CA）同样也不希望看到这一幕。

由于 CA 的商业模式是向网站售卖 TLC/SSL 证书，所以自然是希望可以一次性收取更多的费用。并且数字证书颁发本身的技术门槛也不高，甚至于可以自行签发 SSL 证书，这也是为什么 CA/B 论坛上进行投票的 CA 组织会高达 30 家的原因。

激烈的市场竞争环境，就意味着任何一家 CA 都希望长期绑定用户，毕竟 TLC/SSL 证书只有 47 天有效期，客户到时候不一定会续费。然而遗憾的是，相比于浏览器，CA 处于弱势地位，浏览器的信任才是任何一家 CA 存续的基石。如果与浏览器闹掰了，CA 颁发的证书就与大家自行签发的证书是一回事了。

那么为何浏览器巨头都想要缩短 TLC/SSL 证书的有效期呢？答案是有效期越短，用户通过浏览器访问网络的安全性就会越高，所以为了用户体验，浏览器厂商自然是动力十足。尽管 TLC/SSL 证书使用了 RSA 2048 等非对称加密技术，但在实际应用中，RSA 密钥可能会因为某些原因部分泄露，而时间越长，被破解的风险自然也就越大。

因此缩短 TLC/SSL 证书的有效期，就可以让 CA 更加频繁地轮换密钥，进而确保证书本身的安全性。与此同时，由于每一次申请 TLC/SSL 证书都需要 " 验明正身 "，所以缩短证书的有效期，就可以使得 CA 的服务器更频繁地对网站的最新信息进行验证，从而确保网站的真实身份及其安全性。

虽然缩短 TLC/SSL 证书的有效期是浏览器厂商为了用户安全上网做出的努力，但代价却是由 CA 和网站站长来承担。一旦 TLC/SSL 证书的有效期从 398 天变成 47 天，网站站长为了避免因证书过期导致流量下降，就需要隔三差五关注证书的有效期。

简而言之，浏览器厂商为了自家产品的用户体验，选择将麻烦丢给 CA 和网站站长。本来如今各大 CA 之间的竞争就足够激烈，未来站长在维护网站的同时，恐怕就要更频繁接到各家 CA 打来的推销电话了。

【本文图片来自网络】