为何现在一年期的SSL证书要分两次签发？

为何现在SSL证书购买一年要分两次签发？这是CMSYOU客服最近常被问到的问题，难道没有一年期的SSL证书了吗？今天CMSYOU在这里分享这其中的缘由：自2026年3月15日起，CA/Browser论坛（浏览器与证书颁发机构共同制定标准的国际组织）规定，公开信任的域名SSL证书最长有效期不得超过200天，号称此举旨在降低长期证书因私钥泄露或算法过时带来的安全风险，强制更频繁的身份与域名所有权复核。由于一个证书有效期不足200天，于是分两次签发达到一年期，造成“一年两次”的操作表象，这就是为何现在一年期的SSL证书要分两次签发的原因。有效期缩短并非技术强制，而是合规与商业设计的叠加结果。

根据 CA/Browser Forum（证书颁发与浏览器论坛）于2025年4月11 日正式通过SC-081v3提案，自2026年3月15日起，全球所有公开信任的 SSL/TLS 证书最长有效期由398天统一缩短至200天。

为什么强制缩短有效期、拆分发证？

1、安全机制驱动：

1.1、短有效期迫使网站定期重新验证控制权（如通过DNS或HTTP文件验证），及时吊销失权或异常证书；

1.2、促进密钥轮换，减少长期加密密钥被破解或滥用的可能性（即使当前算力下破解仍不现实，但策略上“最小化暴露窗口”是行业共识）。这是为了缩小密钥泄露风险窗口期，避免私钥泄露，证书有效期越长、被滥用时间越久；半年强制换密钥，大幅缩短被黑客冒用、中间人劫持的周期。

2、强制周期性核验域名、核查企业资质：

域名可能转手、企业注销更名，每半年重新校验域名所有权(DCV)，避免域名被冒用申请证书。

3、 应对量子计算破解隐患：

淘汰老旧不安全加密算法(如 SHA1)，短周期方便随时升级 ECC、后量子安全算法。RSA主流加密未来存在被量子计算机破解风险，频繁轮换证书，降低长期密钥被批量破解风险。

一年期的SSL证书是如何分两次签发的？

一般而言，申请当天发放第一张：有效期199 天，验证通过后立刻签发、部署上线，第一张到期前20～30天自动出第二张，补齐剩下天数（365-199=166 天），两张首尾衔接，合计完整 1 年有效期、总价仍是年费，第二次签发免费。

所有的SSL证书都是一年分两次签发的吗？

也有例外，并非所有的SSL证书都是一年分两次签发，国密 SM2 证书不受此规则，依旧可以一年单张签发。另外，200天限制当前适用于DV/OV/EV域名SSL证书，而代码签名、邮件加密等其他类型证书另有规则（比如当前2026年最长可达15个月）。

关于证书类型：

RSA证书算法：RSA 2048 / SHA256，一年分两次签发。

国密SM2签名算法 ：SM2+SM3+SM4，单张直接 365 天，一年只签发1次，不用分两次。国产密码标准，部分老安卓、部分海外浏览器不兼容。

未来SSL证书有效期趋势如何？

此前SSL证书最长可达398天（常说的13个月），2020年后逐步收紧；2026年新规进一步压缩至200天，反映行业对“零信任”和动态验证的强化，而非单纯“一年两签”成固定模式。

有效期将继续逐年缩短：

2026年3月15日：单张最长200天，一年需签发2次证书；

2027年3月15日：单张最长100天，一年需签发4次证书；

2029年3月15日：单张最长47天，一年需签发8次，全面进入高频短证书时代。

一年分两次签发担心忘记？可以尝试自动托管、自动续签，平台自动生成第二张证书，将替换部署。 如何在服务器上安装和配置SSL证书？可以找CMSYOU客服咨询探讨，当然，需要购买SSL证书也可以找，我们有代理优惠价~