近日,CA/浏览器论坛(CA/BrowserForum,简称CABF)通过了一项关于公钥基础设施(PKI)中的SSL/TLS证书有效期缩短的提案。从2026年起,SSL/TLS证书的有效期将从398天大幅缩短至47天,这一变化将在2029年全面落实。
这项提案已经获得了CABF成员的广泛支持并成功通过。包括Google、Apple、Microsoft等主要的浏览器厂商,以及Sectigo、DigiCert等证书颁发机构都投了赞成票。
提案主要内容有哪些?
SC-081提案不仅涉及证书有效期的缩短,还包括域名验证数据重用期限的限制:
(1)通过多个时间节点将证书最大有效期从398天逐渐缩短减少至47天:
•2026年3月15日起:最长有效期应为200天。
•2027年3月15日起:最长有效期应为100天。
•2029年3月15日起:最长有效期最终降至47天。
(2)域名验证数据重用期限大幅缩短:
•非SAN验证数据重用:最终从825天减少到398天。
•SAN验证数据重用:最终从398天减少到仅10天。
具体实施时间如下:
证书有效期变化历程
事实上,这并不是SSL证书有效期第一次被缩短。回顾历史,会发现这是一个持续演进的过程:
•SSL证书诞生之初并没有有效期的限制。
•2005年5月,由VeriSign和Comodo牵头成立的国际标准组织CA/浏览器论坛,出台了一系列SSL证书标准,SSL证书有效期开始缩短。
•2017年,证书的最大有效期从1185天缩短到825天。
•2020年,谷歌、苹果和Let'sEncrypt共同提议把SSL证书有效期从当时的825天缩短为398天。虽然当时CA/浏览器论坛投票结果是未通过,但苹果单方面决定只信任一年期证书,导致大量浏览器跟进,实现了SSL证书有效期缩短至1年。
•2023年3月3日,谷歌发布“共同前进”路线图,宣布计划将浏览器中TLS服务器身份验证证书有效期缩短至90天。
而如今,CABF通过的SC-081提案,将再次大幅缩短这个期限。
证书有效期为什么越来越短?
减少密钥泄露的风险。理论上,证书的生命周期越短,密钥泄露后恶意攻击者能利用的时间窗口也会越小。这有助于降低因密钥泄露而导致的安全事件发生的概率和影响。
简化证书吊销流程。传统的证书吊销机制,如证书吊销列表(CRL)和在线证书状态协议(OCSP),往往被认为效率不够高,尤其是当证书泄露需要紧急吊销时,整个流程可能会很复杂。较短的有效期可以在一定程度上弥补这些不足,因为即使证书未被及时吊销,它也会在短时间内自然过期。
推动新算法的应用。随着时间的推移,新的加密算法和更强大的密钥长度不断出现。较短的有效期允许网站更快地采用这些新标准,而不需要等待长达数年的时间才能更换所有证书。
有效期缩短带来哪些影响?
SSL证书有效期缩短,在安全层面有着显著的积极意义。有效期缩短意味着私钥被破解的时间窗口变小,降低了黑客利用安全漏洞发动网络攻击的可能性。同时有效期缩短也促使网站采用更新更安全的加密算法,加大了黑客破解的难度,网站安全性将得到进一步提升。
然而与此同时,证书有效期的不断缩短带来了运维成本的不断攀升,购买、安装和维护的频率大幅增加,人力和时间投入显著增多,不仅增加了维护成本,还会使得证书过期未及时更新的情况更为常见,由此导致网站无法正常访问的问题更加频繁。
证书有效期缩短后该怎么做?
当前大部分组织机构在证书管理方面都存在流程不规范、专业知识匮乏等问题,证书误签发、证书不生效、过期未续签等情况时有发生,给网站的数据安全、企业的品牌形象以及业务的正常开展造成了严重损害。随着证书有效期的不断压缩,证书管理难度持续提升,因管理不当而造成的影响将会进一步放大。
以前,网站可能只需每年或每几年关注一次证书的更新,而现在则需要每47天就进行一次操作。如此频繁的证书操作,使得手动续订证书变得非常困难甚至不可能。这种情况下,就需要选择合适的证书管理平台借助自动化管理工具和专业服务团队,实现证书的自动部署、无缝更新以及全生命周期的高效管理,减少人为错误和遗漏的风险。
国科云与国内外多家可信CA机构合作,提供丰富的SSL证书选择,满足不同行业客户对数据安全和HTTPS协议改造的需求,并提供从售前咨询、需求分析、产品推荐到证书申请、应用部署、安全检测等全流程托管服务,一站式解决用户在安装使用证书过程中遇到的各种问题,大幅降低证书管理难度和成本,全面应对证书有效期缩短带来的各种挑战。
相关推荐:
