16
2025
04
17:11:49

到 2029 年,SSL 证书的有效期将变为 47 天

网络安全至关重要,而 SSL 证书作为保障网络通信安全的关键一环,其任何变动都备受关注。近期,一项关于 SSL 证书有效期的重大调整引发了广泛讨论 - 到 2029 年,SSL 证书的有效期将大幅缩短至 47 天。这一决定旨在强化网站的安全基础,同时也将有力推动证书管理向自动化方向转变。

CA / 浏览器论坛决定逐步缩短有效期

CA / 浏览器论坛是一个致力于制定互联网通信安全标准的行业组织,其成员涵盖了 DigiCert 和 GlobalSign 等主要证书颁发机构(CA),以及 Google、Apple、Mozilla 和 Microsoft 等浏览器供应商。该论坛对 SSL/TLS 证书的有效期做出了一项意义重大的决定。

这一决定基于 Apple 长期倡导的提案,该提案也得到了 Google Chrome 团队、Mozilla 和证书颁发机构 Sectigo 的认可。截至 2024 年,SSL/TLS 证书的最长有效期为 398 天,但从 2029 年 3 月 15 日起,这一期限将逐步缩短至仅 47 天。

SSL 证书有效期缩短

SSL(Secure Sockets Layer)证书,也称为 SSL 服务器证书,是数字证书的一种,类似于日常生活中的驾驶证、护照和营业执照的电子副本。它由受信任的数字证书颁发机构(CA),在严格验证服务器身份后颁发,具备服务器身份验证和数据传输加密两大核心功能。


通过在客户端浏览器和 Web 服务器之间构建一条 SSL 安全通道,SSL 证书激活 SSL 协议,实现数据信息在两者间的加密传输,有效防止数据泄露,确保双方传递信息的安全性。同时,用户能够凭借服务器证书,验证所访问网站的真实性,保障数据的完整性,即数据未被恶意篡改。在网络交易、信息传输等场景中,SSL 证书为用户的隐私和权益筑牢了坚实的防线。

事实上,这并非 SSL 证书有效期首次调整,回顾其演变历程:早期,TLS 证书有效期长达数年;2012 年,最长有效期被限制为 60 个月;2015 年,进一步缩短至 39 个月;2018 年,缩短至 825 天(约两年);2020 年,在苹果公司的推动下,最长有效期被限定为当前的 398 天(约一年)。而此次通过的提案,将分阶段把证书最长有效期缩短至 47 天,具体实施步骤如下:

  • 2026 年 3 月 15 日起:新签发证书的最长有效期缩短至 200 天,同时域名控制验证(DCV)的有效期也同步调整为 200 天。

  • 2027 年 3 月 15 日起:最长有效期和 DCV 有效期进一步缩短至 100 天。

  • 2029 年 3 月 15 日起:最长有效期最终降至 47 天,DCV 有效期缩短至 10 天。


该提案获得了 CABF 成员的广泛支持,Google、Apple、Microsoft 等主要浏览器厂商,以及 DigiCert 等证书颁发机构均投出了赞成票。这表明在全球范围内,对于提升网络安全水平、强化证书管理的需求已达成高度共识。

该决定在 CA / 浏览器论坛的发布机构投票中,以 25 票赞成、0 票反对和 5 票弃权(Entrust、IdenTrust、Japan Registry Services、SECOM Trust Systems、TWCA)获得通过。使用该证书的主要浏览器供应商(Apple、Google、Microsoft、Mozilla)均一致投了赞成票。

为什么要缩短?

在网络攻击手段日益复杂多样的今天,较长的 SSL 证书有效期意味着更大的安全隐患。一旦证书或其关联的私钥泄露、被盗,攻击者利用其实施中间人攻击、网络钓鱼诈骗等恶意行为的时间窗口将大大缩短。较短的有效期能够显著降低此类侵权风险,即使证书在有效期内遭遇安全问题,其受影响的范围和时间也能得到有效控制,从而有力保障用户的网络安全和合法权益。


当 SSL 证书有效期缩短至 47 天,意味着大约每 6 到 7 周就需要进行一次更新。对于管理成百上千个证书的大型企业、机构而言,依靠传统的手动续订方式将变得极为繁琐且不切实际,极易因人为疏忽导致证书过期,进而引发网站访问异常、用户信任受损等问题。

随着信息技术的飞速发展,尤其是量子计算等新兴技术的崛起,对现有密码学构成了潜在威胁。较短的证书有效期使得网站能够更迅速地迁移到更新、更强大的加密算法,提升加密敏捷性,为应对未来可能出现的新型安全挑战做好充分准备。正如 Sectigo 首席合规官兼 CA/B 论坛副主席 Tim Callan 所言:“这一举措凸显了在当今复杂多变的威胁形势下,敏捷性和主动风险管理的重要性,为量子时代的到来提前布局。

证书有效期造成的问题

随着有效期的缩短,证书续订的频率必然大幅提高。倘若缺乏可靠的自动化系统,由于人为失误而错过更新的风险以及由此导致的服务中断的风险也会随之增加。

向自动化转型同样会带来成本问题。自动化工具的实施和运行成本较高,而且目前证书颁发机构将如何为短期证书定价尚不明确。

然而,这种趋势或许不可避免。GlobalSign 产品管理副总裁 Mohit Kumar 指出:“随着证书有效期缩短到 47 天,公司已不再有是否自动化其证书管理的选择。

分阶段缩短有效期的举措,应该能够为受影响的组织提供实施和迁移到自动化系统的准备时间。在未来几年内,自动化证书管理将从网站运营的 “推荐” 要求转变为 “必须具备” 的要求。企业和开发人员需要尽早考虑并实施自动化策略,为这一变化做好充分准备。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://zblog.hqyman.cn/post/10563.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:VPS | 浏览:53 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: