Industry

SSL 行业最新动态:2026 年中证书有效期、TLS 演进与后量子密码趋势

证书有效期政策:90 天已成新常态

进入 2026 年,SSL/TLS 证书有效期缩短的趋势已从讨论变为现实。继 Google 在 2025 年推动 90 天有效期提案后,CA/B 论坛(CA/Browser Forum)已正式将公开信任的 TLS 证书最大有效期从 398 天缩减至 90 天。这一政策旨在降低因证书泄露或配置错误带来的长期风险,同时迫使企业转向自动化证书管理。

对于网站管理员而言,手动续期已不再可行。ACME 协议(自动证书管理环境)成为必备工具,Certbot、win-acme 等客户端与 免费证书 服务结合,可实现无人值守的自动部署与续期。我们建议管理员立即检查现有证书生命周期,并评估内部 CA 或私有证书的轮换策略。

浏览器厂商的合规要求

主流浏览器持续收紧信任标准。Chrome 根程序政策已要求所有公开信任的 CA 在 2026 年 3 月前完成 90 天证书的兼容性测试。Mozilla Firefox 则进一步强调证书透明度(CT)日志的强制要求,任何未提交至至少两个 CT 日志的证书将被标记为不可信。Safari 在 iOS 20 与 macOS 15 中默认启用更严格的证书验证,对自签名证书和过期证书零容忍。

这些变化意味着,如果您的网站仍使用长有效期证书或依赖手动部署,将面临浏览器拦截风险。建议尽快迁移至支持自动化续期的 DV 证书OV 证书 方案。

TLS 协议演进:1.3 全面普及,1.2 加速淘汰

截至 2026 年第二季度,全球前百万网站中 TLS 1.3 的启用率已超过 85%。TLS 1.3 不仅显著提升握手速度,还移除了过时且不安全的加密套件,如 RSA 密钥交换和 CBC 模式。微软、AWS 和 Cloudflare 等云服务商已默认关闭对 TLS 1.0 和 1.1 的支持,部分监管严格的行业(如金融、医疗)甚至开始要求仅使用 TLS 1.3。

对于企业用户,部署 TLS 1.3 需注意中间件兼容性。旧版 Java、.NET Framework 或嵌入式设备可能无法直接支持。建议在服务器端(如 Nginx、Apache)启用 TLS 1.3 的同时,保留 TLS 1.2 作为过渡,但务必禁用 TLS 1.0/1.1。具体配置指南可参考我们的 安装帮助页面

后量子密码学:从实验到试点

后量子密码(PQC)在 2026 年迎来关键转折。NIST 于 2024 年发布的首批 PQC 标准(CRYSTALS-Kyber、CRYSTALS-Dilithium 等)已进入实际应用测试阶段。Google Chrome 在 2026 年初开始支持混合后量子密钥交换(X25519Kyber768),Cloudflare 和 Amazon 也在其边缘网络试点部署。

虽然量子计算机对当前 RSA/ECC 加密的威胁尚未迫在眉睫,但“先存储后解密”的风险促使金融和政府机构率先行动。预计 2027 年 CA/B 论坛将发布 PQC 证书格式草案。网站管理员现阶段无需立即更换证书,但应关注 CA 厂商的 PQC 试点计划,并确保服务器软件(如 OpenSSL 3.x)已支持 PQC 算法。我们将在 行业动态 持续跟踪此议题。

企业 HTTPS 部署实践:零信任与自动化

企业级 HTTPS 部署正从“全站加密”向“零信任架构”演进。证书生命周期管理(CLM)工具成为刚需,用于集中监控数千张证书的到期、吊销和合规状态。同时,内部 PKI 与外部 CA 的混合部署模式更加普遍,以满足微服务、容器化环境中的 mTLS(双向 TLS)需求。

实践建议:1)为所有内部域名申请 公开信任证书 或部署私有 CA,避免使用自签名证书;2)启用 HSTS 预加载,防止 SSL 剥离攻击;3)定期扫描证书透明度日志,发现未授权颁发的证书。对于中小型站点,免费的 ACME 自动化方案仍是性价比最高的选择。更多常见问题,请访问 帮助中心