谷歌认为，缩短证书生命周期还将降低对于吊销检查解决方案的依赖并将减少意外证书透明度（CT）日志取消资格所带来的影响。

谷歌发布“共同前进”路线图，ssl证书有效期90天或成定局

2023 年3月3日，谷歌在其“共同前进”路线图中宣布，预计在未来的政策更新或CA/B论坛投票提案中将公TLS证书的最长有效期从398天减少到90天。事实上，亚洲诚信TrustAsia早在2017年就预测到有效期缩短这一趋势。

实际上，SSL证书在诞生时并没有证书有效期的限制，可以是5年或10年，但随着SSL证书的广泛使用，特别是2005年5月17日由VeriSign和Comodo牵头成立国际标准组织CA/B浏览器论坛，出台了一系列SSL证书标准，SSL证书有效期开始缩短。

在2018年3月，浏览器厂商试图将SSL证书的有效期从3年缩短到1年，但在CA的抵制下妥协为2年。但是仅仅只过去了一年，浏览器制造商再次提出同样的提案，由于时间仅仅过去了1年，这项提案毫不出人意料的遭受了几乎所有CA的抵制。在2020年2月，苹果违反了标准的CA/B论坛操作程序，没有呼吁投票，而是单方面宣布，决定在其设备上可以使用的TLS/SSL证书有效期缩短为398天，数周后火狐就宣布跟进，而数月后谷歌的跟进则使得CA机构的抵制没有什么实际意义了。

所以我们可以认为，由于浏览器控制着它们自己的根程序要求，HTTPS生态系统其实已经在谷歌、苹果、火狐等主流浏览器厂商主导之下，这点在谷歌的“共同前进”路线图中也可以得到印证。

谷歌声明将通过“未来的政策更新或CA/B论坛投票提案”来执行，这其实是一个耐人寻味的说法。谷歌似乎在说，如果CA/B论坛选择通过投票流程来接受这个提案，那么就是皆大欢喜的结局。但是，如果CA/B论坛投票提案没有通过这个提案，那么不好意思，谷歌大概率会走“政策更新”这条苹果走过的老路了——谷歌很大概率会通过将SSL证书有效期缩短为90天，作为 Chrome 根程序的要求。来单方面强制执行此更改，并且让其成为每个商业公共CA都不得不遵循的事实标准。

谷歌已经通过宣传材料来传达其意图，其实是想让行业和用户有时间为这已经不可避免的转变和随之而来的影响做好充分准备。

从上图的时间轴中我们也可以看到，距离上一次TLS/SSL证书有效期缩短已经过去了两年半的时间了。再综合考虑时间等影响因素之后，亚洲诚信认为，虽然具体时间未知，但TLS/SSL证书有效期缩短为90天很可能会在2024年落地，最快甚至会在2023年的9月。

事实上，CA/B 论坛正在推行可选的有效期为10天的TLS/SSL证书，这类证书不需要强制接受OCSP，预计很快就将通过CABF的投票。

TLS/SSL证书有效期缩短将带来哪些好处

浏览器厂商为什么一直在推动TLS/SSL证书有效期缩短呢？其实谷歌在其“共同前进”路线图对其动机进行了一些阐述：

谷歌认为缩短证书生命周期是一方面是为了鼓励证书自动化。证书自动化将推动HTTPS生态系统摆脱“巴洛克式”（巴洛克式是一种艺术风格，巴洛克的本意就是不规则的，不常规的意思）、耗时且容易出错的颁发流程，降低人力成本和工作难度规避人为失误导致的事故。

另一方面，TLS/SSL证书有效期的减少，促使网站更频繁地续订证书，而续订的证书会采用最新的算法并进行密钥的轮换，从而将生态系统快速过渡到具备抗量子算法所需的加密敏捷性。

同时谷歌认为，缩短证书生命周期还将降低对于吊销检查解决方案的依赖并将减少意外证书透明度（CT）日志取消资格所带来的影响。

另外收费SSL证书不受影响如：Positive SSL Sectigo SSL 锐安信（sslTrus） 百度Trust(BaiduTrust) Digicert SSL（原赛门铁克) Geotrust SSL Thawte SSL GlobalSign SSL Entrust SSL CFCA SSL WoTrus SSL 沃通 Certum SSL 等收费证书均为一年服务期起。