证书颁发机构浏览器论坛(又称 CAB 论坛)通过了第 193 号投票,将 SSL 证书有效期(域名验证和业务验证)缩短至 825 天(约 27 个月)。
投票不会影响扩展验证证书,因为它们的有效期已经是 2 年。 新法规将于2018 年 3 月 1 日生效。
Entrust Datacard 公司的Chris Baily提出了这一动议,并获得了绝大多数参与投票的浏览器和证书颁发机构的支持。 在 27 票 CA 表决中,24 票赞成,3 票弃权。 浏览器投票结果为 5 票赞成,1 票弃权。
这已经不是 CAB 论坛第一次降低 SSL 证书的最长有效期了。 2015 年 1 月,同一行业机构对所有公众信任的 SSL 证书设置了 39 个月的有效期限制。 在此之前,公司和个人可以获得有效期长达 5 年的 SSL 证书。
那么,为什么要在这么短的时间内再次改变规则呢?
简而言之,就是加强安全和监管。 现在让我们来详细说明一下。 新限制允许 SSL 证书更频繁地过期和重新签发,从而使证书颁发机构能够更好地控制整个SSL/TLS 环境。
新的 825 天 SSL 有效期将最大限度地减少使用旧加密标准的 SSL 证书数量:例如,从 1024 位 RSA 密钥长度改为 2048 位 RSA 密钥长度,或从 SHA-1 算法改为 SHA-2 算法。 新的限制还将减少因欺诈性请求和活动而签发的有效证书,并减少错误签发证书的数量。
重要信息
CAB Forum 的更改不会影响已安装的 SSL 证书的有效性。 验证程序已经完成,他们不需要采取进一步行动。 2016 年 7 月 1 日之后但在 2018 年 3 月 1 日之前签发的 SSL 证书仍具有当前的 39 个月有效期。
不过,由于 SSL 证书的验证信息必须在证书签发或重新签发后的 825 天内完成,现有 3 年期证书的持有者必须在最后一年重新签发证书才能符合要求。
扩展验证证书的有效期将从 27 个月延长至 825 天。 精确的天数(825 天)可以提高审计和浏览器要求执行的效率。 CAB 论坛建议 EV SSL 证书的最长有效期为 12 个月。