证书有效期砍到47天：2026年，你还敢手工管证书？

前几天 Starlink 经历了一次全球性宕机，持续数小时。事后复盘，原因一点都不复杂——证书过期了。是的，就是那个无数企业用 Excel 表格 + 日历提醒来管理的证书。

这事儿放 2023 年还勉强能接受，但放到 2026 年，你还敢这么玩？

有效期一路缩水，2029年仅剩47天

CA/B 论坛在 2025 年 4 月拍板了一个让运维人血压飙升的决定：TLS 证书有效期将从 398 天依次缩短至 200 天，再到 100 天（2027年3月15日起），最终在 2029 年 3 月 15 日砍到 47 天。

47 天是什么概念？一次中秋假期回来，你的证书可能就过期了。

一家价值几十亿美元的公司连 398 天都熬不过去，手动管理证书的不可扩展性早就不是什么秘密了。当有效期缩短到 47 天，手工管理已经不是「困难」，而是「不可能」。

Starlink 不是个例，是预警

证书是机器身份的核心。当设备无法证明自己是可信的时候，MITM 攻击、欺骗、合规检查失败这些问题会接踵而至。

而且一旦证书失效，暴露的可不只是服务中断，还有你整个安全体系里的漏洞。

自动化才是唯一的出路

问题来了：如何选择证书管理工具？

首先，别再盯着那些「功能丰富」的 GUI 工具了。自动化协议支持才是核心指标：

• ACME — Let us Encrypt 御用协议，自动化程度最高
• SCEP — 老牌标准，适合企业内部 PKI
• EST — SCEP 的升级版，支持更复杂的场景

不支持这些协议的工具，要么逼你重复造轮子，要么直接把你绑死在一个供应商上。

其次，看是否支持多 CA。合规要求、业务需求都可能导致你需要切换证书颁发机构，能在公有 CA 和私有 CA 之间自由切换的工具，长期价值远高于只能单选的产品。

写在最后

47 天有效期的时代，2029 年就会到来。与其到时候手忙脚乱，不如现在就把自动化证书管理提上日程。选工具的时候记住一点：支持 ACME/SCEP/EST 是底线，多 CA 是加分项，开源是bonus。

手工管证书的团队，不是懒，是还没被教训过。Starlink 的数小时宕机，就是最好的提醒。