行业新闻与博客

SSL / TLS 证书的最大有效期现在为一年

从 9月1日开始，SSL / TLS 证书的发布时间不得超过 13 个月（397 天）。苹果公司在三月份在布拉迪斯拉发举行的 CA / 浏览器论坛春季面对面活动中首次宣布了这一更改。

然后，上周，在 CA / B 论坛的夏季活动（虚拟举行）上，Google 宣布了将苹果的变化与自己的根程序相匹配的意图。

还有一个浏览器驱动的投票，旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这个问题。

SSL / TLS 证书寿命缩短的原因

从高级的理论角度来看，寿命较短的证书有两个主要好处：

第一个是技术组件–更长的使用寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子就是从 SHA1 到 SHA2 的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书，否则可能要花费数年才能替换所有旧证书。对于 SHA1，花了三个时间。这会带来风险。

另一个好处与身份有关–用于验证身份的信息应保持信任多长时间？验证之间的时间越长，风险越大。谷歌表示，在理想的世界范围内，验证大约每六个小时进行一次。

在 2015年之前，您可以获得长达五年的 SSL / TLS 证书。减少到三个，然后在 2018年再次减少到两个。在 2019年底，在 CA / B 论坛上提出了将其缩减为一年的选票-证书颁发机构对其进行了否决。

那么，为什么证书仍然减少到一年呢？

CA / Browser 论坛是一个行业团体，其开会以就发行可信数字证书的一组基线要求进行投票。但是，它不是理事机构。即使 CA 表示担心并且不愿意再次降低最大有效性，但是 Apple 和 Google 完全有权根据自己的意愿更新其根程序的策略。

证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在 CA 方面，如果浏览器不信任公共证书有什么用？

这一切的管理方式是通过根程序。注意，有四个主要的根程序是 Microsoft，Apple，Mozilla 和 Google。

顺便说一句，您会注意到这四个在桌面和移动设备上都落后于主要浏览器。为了使 CA 的证书受到根程序的信任，并通过扩展使用它们的浏览器和 OS 的信任，它必须遵守该根程序的准则。CA / B 论坛是一个行业论坛，可以理想地帮助促进对根程序（以及生态系统本身）的更改。

但是作为浏览器参与的根程序仍然可以单方面采取行动，并根据需要进行更改。当发生这种情况时，对互操作性的需求基本上表明，无论根程序策略具有最严格的标准，它都会成为新的事实上的基准要求。

那就是我们到达这里的方式。现在，让我们谈谈这对您的网站意味着什么。

SSL / TLS 有效期缩短对网站所有者意味着什么

该证书将于 2020年9月1日生效。因此，如果您使用的是 9月1日之前签发的两年期证书，则该证书将一直有效，直到其原始到期日期为止。未来两年您将无法续约。

换句话说，您必须在 9月1日之前获得两年的证书。之后，它们将被降级为历史桌面回收站。

从更大的角度来看，这可能是开始考虑自动执行更多证书生命周期管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织，也适用于使用公共信任的电子邮件证书的组织，以及使用私有 CA 或基于 PKI 的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任，这也有助于管理–您甚至可以使用该方法颁发具有更长有效期的证书。

否则，根程序继续前进以缩短有效性的方式进行处理–在将来的某个时候，组织将不得不被迫自动执行许多此类操作。

本文由机器译制