47天憑證新規：怎麼回事？

2025年4月，CA/Browser Forum通過了一項影響深遠的決議：公開信任的TLS憑證最長有效期，將從現在的398天分階段縮短到47天。這項提案由Apple主導，Google和Mozilla都投了贊成票。時程是這樣的——2026年3月起縮短至200天，2027年3月起100天，2029年3月起只剩47天。

背後的邏輯很直接：憑證有效期越長，私鑰一旦外洩，攻擊者能利用的時間窗口就越大。過去幾年好幾起資安事件，都跟過期沒換或私鑰被偷的憑證有關。縮短有效期也能推動企業落實金鑰輪替，降低演算法弱化或未來量子運算帶來的風險。

這對企業的實際衝擊是什麼？

一個字：量。47天的更新頻率，意味著每張憑證一年要換8次左右。如果你的企業管理500張憑證，一年就是4,000次更新作業。靠人工根本不可能，而且只要漏掉一張，對應的服務就會中斷。

更麻煩的是，多數企業連自己到底有多少張憑證都不確定。憑證散落在Web Server、Load Balancer、API Gateway、內部應用系統、IoT設備上，由不同部門在不同時期申請，根本沒有統一清冊。如果連有幾張、在哪裡都搞不清楚，後面的自動化管理就無從做起。

導入憑證管理系統該注意什麼？

首先是盤點。這一步最容易被低估，但也最關鍵。你得先把所有環境裡的憑證找出來建立清冊，包括那些「被遺忘」的憑證。沒有這個基礎，後面做什麼都是空談。

再來是自動化能力。系統必須支援ACME等自動化協議，能夠在憑證到期前自動完成申請、簽發、部署、驗證的完整流程。人工介入的環節越少越好。

第三是跨環境整合。企業的IT環境通常橫跨地端機房和多個公有雲，有Windows、Linux、容器等各種平台。憑證管理系統要能統一管理這些異質環境，不能只顧到其中一部分。

最後是合規需求。金融業、醫療業對加密標準和金鑰保護有明確規範，憑證管理系統應該能提供完整的稽核軌跡和合規報表，同時強制執行企業安全策略（像是最低金鑰長度、禁用弱加密演算法等）。

CyberArk Certificate Manager：我們推薦的方案

頤合資訊代理的CyberArk Certificate Manager（前身是Venafi）是目前全球憑證生命週期管理的指標性產品。它的核心能力包括：

在憑證可見性方面，它能自動掃描企業全環境，找出所有憑證並建立資產清冊。在生命週期自動化方面，從申請、簽發、部署、監控到更新全部自動化處理，支援ACME、EST等協議，跟各大公開CA和企業內部CA都能整合。在跨平台管理方面，不管是傳統伺服器、雲端、容器還是網路設備，都用同一個介面和策略引擎來管。

另外值得一提的是，Certificate Manager是CyberArk產品線的一部分，可以跟CyberArk PAM整合，把機器身分（Machine Identity）和人員身分統一在同一個平台上管理。

建議的時程規劃

新規是分階段上路的，企業的準備也應該對應這個節奏。現階段（2026年前）先完成憑證盤點，搞清楚自己的狀況。2026年進入200天階段時，開始導入自動化管理，先從最關鍵的對外服務憑證做起，再逐步擴大範圍。目標是在2029年47天正式上路前，所有憑證都已經納入自動化管理。

如果需要評估現有憑證管理方式的缺口，或討論導入規劃，歡迎跟頤合資訊聯繫。