帮助中心 >
  关于网络安全 >
  EV证书有效期多久?2026年CA/B论坛新规解读!

EV证书有效期多久?2026年CA/B论坛新规解读!

时间 : 2026-07-15 14:32:30
编辑 : DNS.COM

  EV证书(扩展验证证书)一直被公认为数字证书体系中信任等级最高的那一档,不仅因为审核流程严格,也因为它能直接在浏览器地址栏显示企业名称,给用户带来直观的信任感。但是,2026年迎来了一轮重要的规则调整。如果你还在以为EV证书可以一次性申请多年、好几年不用管,那这个认知可能需要刷新了。

  一、先说结论:2026年3月15日是一道分水岭

  在2026年3月15日之前,EV SSL证书的最长有效期仍为398天(约13个月),这是CA/B论坛此前长期执行的标准。也就是说,只要证书在这条时间线之前完成签发,依然可以按398天的周期正常使用。

  但从2026年3月15日起,规则正式切换:所有新签发的公共SSL/TLS证书(包括EV证书)最长有效期被压缩至200天(约6.6个月)。在CA/B论坛的时间表中,这还只是第一步——到2027年3月15日将进一步缩短至100天,到2029年3月15日最终压缩到47天。

  需要特别留意的是,EV证书和OV证书一样受此规则约束,不像DV证书那样只需验证域名所有权。EV证书涉及组织身份的深度审核,每次续费或更新证书时都需要重新走企业资质核验流程,时间窗口更紧,运维压力也更大。

  二、为什么要把有效期从398天砍到200天,甚至47天?

  这个看似激进的调整,背后有明确的现实逻辑。

  首要驱动力是缩短私钥泄露的风险窗口期。证书有效期越长,私钥暴露在网络环境中的时间就越长,一旦泄露,攻击者可以利用该证书实施中间人攻击或伪造合法网站。通过强制高频轮换,即使私钥在某一时间点泄露,其有效攻击窗口也被大幅压缩。

  其次,推动证书管理走向自动化。当证书有效期缩短到百天甚至几十天级别,手动管理每张证书的申请、部署、续费操作将变得极不现实。行业趋势是催生自动化证书管理工具(如ACME协议),让证书的“高频轮换”成为一种自动化的基础设施能力,而不是运维人员的负担。

  三、分阶段实施时间表

  结合多个CA机构发布的通知,EV SSL证书有效期变更按以下节奏推进:

生效时间 证书最长有效期 说明
2026年3月15日前 398天 此时间节点前已签发的证书可正常使用至到期
2026年3月15日起 200天 新签发/重签证书均受此限制
2027年3月15日起 100天 进一步缩短
2029年3月15日起 47天 最终目标值

  四、对企业的实际影响及应对建议

  第一,续费节奏需要重新规划。 以前EV证书可以“申请一次管一年多”,现在6.6个月就得来一轮,而且每次续费都涉及组织身份重新核验。建议提前30-60天启动续费流程,不要卡着到期时间操作。

  第二,多张证书的批量管理将成为痛点。 如果企业同时持有EV证书用于多个对外业务(电商支付页、企业登录门户、API网关等),每张证书的到期时间不同,手动追踪每个节点的更新窗口将变得相当繁琐。建议统一用证书管理平台做生命周期跟踪。

  第三,EV证书与OV/DV证书的审核差异仍会影响操作周期。 EV证书的申请流程涉及企业工商信息核验、电话回访等环节,审核通常需要3-5个工作日。当有效期缩短后,如果验证不顺利、来回补材料拖上几天,实际可用的证书时间就更短了。首次申请EV证书时尤其要留足审核时间。

  第四,部分厂商提供“按年购买、分次签发”的过渡方案。 比如GlobalSign针对一年期订单,会分两次各签发199天的证书,第二张在到期前30天可免费申请更新。这个机制可以减轻企业“每199天就要付一次款”的麻烦,但证书部署和换发的操作仍然需要人工或自动化系统完成。

  五、一个需要区分的概念:EV代码签名证书

  值得留意的是,“EV证书”有两个分支——EV SSL证书(用于网站加密)和EV代码签名证书(用于软件签名),两者有效期规则并不同步。

  EV代码签名证书从2026年3月起,最长有效期被调整为459-460天(约15个月),而非SSL证书的200天。申请时务必先确认你需要的是EV SSL证书还是EV代码签名证书,两者有效期、用途和审核流程都有明显区别。

DNS Anna
DNS Amy
DNS Luna
DNS NOC
标题
电子邮件地址
类型
信息
验证码
提交