2020年9月1日起，CA浏览器联盟推动TLS/SSL数字证书有效期最长时效为13个月，全球各根CA机构正式停止签发有效期超过1年合计398天的TLS/SSL数字证书，部分CA机构提供超过1年的付费服务，但证书仍需每年更新。

客户如何应对新规

CA厂商提供了5年最长的付费策略，但证书仍然需要每年进行一次“更新”，即续签证书，通过INFINISIGN购买的证书，在一年有效期到来前30天内会收到通知，并前往控制台进行“重新签发证书”，即可完成一次“证书续签（证书更新）”，INFINISIGN销售产品均支持最长3年的付费政策（包括DigiCert和Sectio旗下产品）

TLS/SSL签发周期缩短的重要原因

从过去TLS/SSL升级过程来看，SHA1升级至SHA2花费了数年时间，最终仍然有证书采用SHA1加密，从技术角度来说，需要CA机构撤销全球数以亿计的证书完成重新签发才能完成一次技术升级，目前提升TLS/SSL安全性的建议手段即是缩短验证周期，迫使用户提前更新证书，为后续的技术升级好准备。

除了缩短周期外，CA还会提供其它技术手段，如要求算法长度升级为3072位，以及将RSA更换为ECC方式加密

TLS/SSL技术升级的历史

在过去10年，CA浏览器联盟致力于推进TLS/SSL的安全升级，缩短时时成为重要手段之一

• 2011年，CA浏览器联盟将证书最长有效期缩短至5年；
• 2015年，出于安全因素考虑，CA浏览器联盟将证书最长有效期缩短至3年；
• 2018年，CA浏览器联盟推动了证书最长有效期到2年；
• 2019年，由浏览器厂商推动将证书最长有效期缩短到1年；

数字签名不受影响

需要注意到的是，CA机构目前提供的代码签名证书、数字签名产品则不受该规定影响，此类产品最长有效期仍为3年。