重要通知：DigiCert将于2026年2月25日调整公有SSL证书有效期，SSL证书自动化逐步成为刚需

考虑到CA/B 论坛的 SC-081v3提案和CSC-31提案将于2026年3月开始正式生效，DigiCert计划从2026年2月25日起先调整公有SSL证书和代码签名证书的最长有效期：将公有SSL证书的最长有效期从397天缩短至199天，同时代码签名证书的最长有效期也从39个月缩短至459天。预计后续各大CA应该也会陆续跟进，锐成官网将会及时更新这些信息。

由于SSL证书的最长有效期越来越短，如果缺少有效的应对措施，SSL证书过期事故发生的频率肯定会越来越高。锐成信息为此提供了SSL证书自动化方案（锐安信CLM），能够有效实现SSL证书在多年订阅的情况下， 实现SSL证书自动重签、自动部署、监控和预警等功能。建议我们客户基于实际需要开始配置起来。

下文我们将详细说明本次调整的具体内容、影响及应对措施。

（DigiCert公告重要内容截图）
备注：公告原文为UTC时间，本文内容为北京时间

DigiCert本次调整核心概览

• 北京时间2026年2月25日上午2:00 起及之后签发的所有公有SSL证书，最长有效期均不得超过新的199天。受影响的证书包括公有DV SSL证书、OV SSL证书、EV SSL证书等。
• 北京时间2026年2月25日上午2:00 起及之后签发的所有代码签名证书，最长有效期均不得超过新的459天。受影响的证书包括普通代码签名证书和EV代码签名证书。

调整依据：

* SSL证书调整：遵循 CA/B论坛SC-081v3提案（行业分阶段缩短计划：2026 年至 200 天、2027 年至 100 天、2029 年至 47 天）；
* 代码签名证书调整：遵循 CA/B论坛CSC-31提案（2026 年 3 月 1 日之后统一缩短至 460 天）；
* 注： DigiCert的证书最长有效期比CA/B论坛允许的最长有效期少一天，以避免超出允许的最大值。

有什么变化及影响？

1、对SSL证书的影响

目前，DigiCert颁发的公有SSL证书最长有效期为397天。自2026年2月25日起，DigiCert颁发的SSL证书最长有效期将为199天。199天的最大有效期是行业向47天SSL证书过渡的多阶段计划中的第一阶段。

• 新证书申请：2026年2月25日起，通过任何渠道提交的公有SSL证书申请，系统将自动调整证书最大有效期为199 天。
• 证书签发：2026年2月25日及之后，签发的SSL证书有效期均不超过199天。2026 年 2 月 25 日前提交但未完成签发的申请，将按新有效期签发。
• 现有证书：2026年2月25日截止日期前已签发的、有效期超过199天的证书不受影响，这些证书在到期前将继续保持可信状态；临近到期续期时，将按199天有效期签发新证书。
• 重签与续期：2026年2月25日截止日期前未签发的397天证书，订单本身仍保留397天有效期，但证书重签或续期时，新证书的最长有效期为199天。

2、对代码签名证书的影响

目前，DigiCert可以颁发最长有效期为39个月的公有代码签名证书。自2026年2月25日起，DigiCert将颁发最长有效期为459天的代码签名证书。

• 新证书申请：2026年2月25日起，停止接受2年和3年代码签名证书的申请，所有新申请的代码签名证书最长有效期不超过459天。
• 证书签发：2026年2月25日起，签发的公有代码签名证书最长有效期为459天。
• 现有证书：2026年2月25日截止日期之前颁发的有效代码签名证书，在到期前仍可继续使用。
• 证书续期：2026年2月25日及之后，续期的代码签名证书最长有效期不超过459天。
• 证书重签：对现有的2年、3年或39个月公有代码签名证书，2026年2月25日之前重签，新证书的有效期最长可达39个月（但不能超过订单有效期）；25日及之后重签，如果原始证书的剩余有效期超过允许的459天最长有效期，我们将对您重新颁发的证书和订单进行截断处理，且不予退款。

企业如何应对？

为了避免此次调整对您的在线业务造成影响，保障业务连续性并平稳过渡，锐成信息建议企业采取以下措施：

1、全面盘点证书资产

立即梳理所有线上业务使用的SSL证书及软件代码签名证书，明确其类型、有效期及关联系统，判断是否需要赶在2026年2月25日前申请长有效期证书。

2、规划长有效期证书申请

对于核心业务系统或证书更换周期较长的关键场景，建议在2026年2月25日之前，适时申请397天长有效期的SSL证书，以及39个月长有效期的代码签名证书，为过渡预留充足时间。

3、准备长期管理方案

针对SSL证书：鉴于SSL证书最长有效期将于2029年进一步缩短至47天，手动管理将难以应对，建议采用锐安信SSL证书自动化运维系统（锐安信CLM），实现对SSL证书的自动续签、自动推送、自动部署、自动发现、自动监控和自动预警等，提高管理效率，降低安全风险。

• 多CA支持：支持CFCA、锐安信、Sectigo、Digicert、Globalsign、sheca、vTrus、Microsoft Ca等。
• 各种证书操作方式：集成证书申请、自动签发、证书品牌/类型替换、自动重签、自动续签等功能。
• 异构环境SSL证书自动部署：包括Apache、Nginx等Web服务器，Aliyun、腾讯云、Azure 等云平台，SSL网关、WAF、K8s 等设备与容器环境。

针对代码签名证书：为适应更短的周期并保障签名安全与效率，建议转向使用锐安信远程代码签名服务，通过将“本地UKey签名”转为“云端安全服务”，并与CI/CD无缝集成，实现安全、高效、合规的自动化签名流水线，满足分布式开发团队跨域协同签名需求。

• CI/CD无缝集成：与Jenkins、GitLab CI/CD、Azure DevOps以及GitHub Actions等CI/CD系统无缝集成，实现自动化签名流水线。
• 多种签名方式：支持命令行签名、客户端工具签名等多种签名方式，灵活适配不同研发场景。
• HSM私钥存储：私钥均生成并存储于获得FIPS 140-3高安全标准认证的云端HSM设备中，永不出库，确保高安全性。
• 跨域协同签名：支持不同区域、不同部门、不同人员同时远程使用代码签名证书对代码进行签名，无需频繁物理传递UKey。

如果您对此次调整有任何疑问，或需要协助规划证书策略，可以随时联系锐成信息获得支持。

通知原文参考：

https://knowledge.digicert.com/alerts/public-tls-certificates-199-day-validity
https://knowledge.digicert.com/alerts/code-signing-certificates-459-day-validity