关于SSL/TLS证书有效期缩短至199天及推行CaaS方案的通知

使用帮助作者：云技术 2026-03-17 21:32:08 阅读：0

尊敬的合作伙伴及客户，您好！

根据 CA/B 论坛最新的 SC081v3 选票结果，全球 SSL/TLS 证书的最大有效期将面临新一轮缩减。为响应行业合规要求，iTrustSSL 将于 2026 年 3 月 1 日起正式实施证书有效期变更及 CaaS (Certificate as a Service) 证书订阅服务模式。

1.证书最大有效期变更时间表

1. 依据行业最佳实践，证书有效期通常预留 1 天余量（如签发 199 天以应对 200 天限值）。2. 于 2027 年之后的实施变更可能会根据 CA/B 论坛要求进行调整，届时将提前公布通知。

注：变更适用于 iTrustSSL / TrustAsia DV、OV 及 EV 系列所有国际算法 SSL/TLS 产品。

2. 审核有效期变更

自 2026 年 3 月 1 日起，验证信息的重用有效期将同步缩减：

域名验证 (DCV)：有效期缩减至 199 天；已审核通过的域名将截断至 199 天。

组织验证 (OV/EV)：组织信息重用有效期维持 398 天不变。

3. CaaS 证书订阅服务模式

针对证书有效期缩短带来的维护压力，我们推出 CaaS 订阅方案，旨在简化用户的管理流程：

多年期订阅：用户仍可一次性订购 1-6 年的证书订阅服务。

订阅期内证书续期：在订阅期内，系统支持签发多张有效期为 199 天的证书，支持随时发起重颁发以获取新证书。重颁发操作默认发满 199 天，当订阅服务剩余时长小于 199 天时，证书有效期将按照服务剩余时间截断（如：当前订阅服务剩余 160 天，在此时重颁发将获得 160 天有效期的证书）。

针对当前订单：一年期证书订单将自动转为一年期订阅服务，多年期证书订单将自动转为对应年限的订阅服务。

自动化赋能：为协助用户应对高频次证书更替，我们配套提供包括 CertCloud（OpenAPI/ACME）、CertManager（私有化部署）及 HiHTTPS（安全网关）在内的多种自动化方案，实现证书生命周期的无人值守管控。

4. 新增技术特性：ARI 接口与持久验证

为了协助合作伙伴及大客户在短周期时代实现证书运维自动化，我们将新增以下特性：

新增 ARI (Auto-Renewal Info) 接口：此特性接口用于向用户系统传递证书续期的官方建议窗口。在面临大规模私钥泄露等突发安全事件时，ARI 能够引导自动化系统提前更替受损证书，确保业务连续性。

新增持久验证功能：旨在解决自动化场景下的域名验证问题，进一步简化证书全生命周期的管理流程。

5. 您需要采取的行动

重要期限提醒：如需获取有效期为 365 天的证书，请在 2026 年 3 月 1 日前完成证书签发。

API 适配：OpenAPI 用户在调用创建订单接口时需指定订阅服务年限，调用重颁发接口进行证书续期操作，并推荐集成 ARI (Auto-Renewal Info) 接口及持久验证功能。

避免绑定固定证书链：建议用户避免在应用中硬编码或强制绑定中间证书与根证书。信任链并非永久固定，重颁发时可能会随 CA 策略进行调整。为确保业务连续性，请采用动态加载机制，以兼容信任链的自动更迭。

6. 常见问题解答（Q&A）

Q1：在 2026 年 3 月 1 日前签发的证书受影响吗？不受影响：在政策实施前已签发的证书在其原有效期内依然有效，不会被强制缩短。

Q2：域名验证 (DCV) 有效期缩减有何具体影响？审核截断：自 2026 年 3 月 1 日起，所有已通过审核的域名验证重用有效期将统一截断为 199 天，新审核有效期自动设定为 199 天。

Q3：新增的 ARI 接口在面临 “大规模私钥泄露” 等极端事件时有什么作用？主动止损保障业务连续性：若行业出现类似大规模私钥泄露等严重安全危机，或因合规要求必须执行大规模撤销时，CA 会通过 ARI 接口更新证书的建议续期时间。自动更替：自动化系统通过查询 ARI 接口，可在证书被正式强制撤销前自动发起重颁发。

Q4：本次公告内容对于您的核心价值是什么？核心价值：我们通过 CaaS 模式，提供多种证书自动化管理工具与 API 能力来应对证书有效期缩短所带来的运维挑战。旨在协助用户规避因人工操作疏忽导致的业务中断、完善在频繁验证及安全响应中的管理流程。

如有任何疑问，请随时通过以下邮箱联系我们： eva@knowsafe.com