SSL 证书的使用寿命一直是个热门话题。 域名验证和商业验证证书的有效期最初定为 5 年,在从SHA-1 算法向 SHA-256 算法迁移的过程中,SSL 的有效期首次缩短为 4 年。 随后,在 2015 年,该期限被限制为 3 年,最后在2018 年被缩减至仅 27 个月。 现在,SSL 证书的有效性再次成为焦点。
在最近举行的 CA/Browser 论坛上,苹果公司单方面宣布,从 9 月 1 日起,其 Safari 浏览器将不再信任有效期超过 398 天的 SSL/TLS 证书。 这一变更只影响公共叶证书,其他证书类型(包括中间证书)保持不变。
苹果公司缩短证书有效期的决定并没有让 SSL 行业感到意外。 向更短有效期证书的过渡已经有一段时间了,谷歌也在倡导这一变化。 2019 年 8 月,谷歌推出 CA/B 论坛投票 SC22,首次正式尝试将 SSL/TLS 证书的生命周期缩短为一年。
CA 与客户一起研究了该提案,但经过不断讨论,投票没有通过。 大多数用户反对缩短有效期,因为 IT 团队需要进行额外的配置工作。
投票失败并没有阻止苹果公司自己采取行动,执行新的一年 SSL/TLS 有效期。 在一个 官方更新 苹果公司在其网站上提到,缩短证书生命周期的原因是他们 “不断努力为用户提高网络安全性”。 一年期 SSL 证书可确保定期生成新密钥,从而进一步减少遭受无情网络攻击的机会。
虽然苹果的 Safari 是第一个将 SSL 证书有效期限制为一年的浏览器,但谷歌和火狐等浏览器很快也会效仿。 Safari 浏览器的市场份额为 17.7%,是仅次于 Chrome 浏览器的第二大流行浏览器。
苹果新的一年 SSL 证书有效期一览
关于即将到来的更短的 SSL/TLS 寿命,您应该了解以下内容:
- 在 2020 年 9 月 1 日 00:00 GMT/UTC 或之后签发的 SSL/TLS 证书,其有效期不得超过 398 天,以便在 Safari 上使用。
- 2020 年 9 月 1 日之前签发的所有 SSL 证书不受此变更的影响。 它们在整个有效期(2 年或 3 年)内有效
网站所有者该怎么办?
计算很简单。 所有在 9 月 1 日之后购买的证书有效期为一年。 如果你是一个大型机构,你需要简化证书管理方法,并使用自动化解决方案进行更新。 对于个人而言,9 月 1 日之后颁发的任何证书都需要每年更新,以保持 Safari 的信任。
距离 SSL 证书一年有效期生效还有几个月的时间,现在是获取 2 年或 3 年 SSL 证书的最佳时机。 同样,如果你的 SSL 证书的有效期不到一年,可以考虑在 9 月 1 日前再续费 2 或 3 年,以获得更长的有效期。
