圈小蛙
CA/浏览器论坛已投票决定在未来 4 年内大幅缩短 SSL/TLS 证书的有效期,从 2029 年开始,最终有效期仅为 47 天。
CA/浏览器论坛是由一群证书颁发机构 (CA) 和软件供应商(包括浏览器开发商)组成的团体,他们共同致力于建立和维护互联网通信中使用的数字证书的安全标准。
其成员包括 DigiCert 和 GlobalSign 等主要 CA,以及 Google、Apple、Mozilla 和 Microsoft 等浏览器供应商。
今年早些时候,苹果提出了一项缩短证书有效期的动议,得到了 Sectigo、Google Chrome 团队和 Mozilla 的支持。
该提案将在未来四年内逐步缩短证书的有效期,从目前的 398 天缩短至 2029 年 3 月的 47 天。
其目标是最大限度地降低证书数据过期、加密算法失效以及凭证长期暴露的风险。此外,它还鼓励企业和开发者利用自动化手段更新和轮换 TLS 证书,从而降低网站使用过期证书运行的可能性。
SSL/TLS 证书是数字文件,通过加密数据和验证网站实现互联网上的安全通信 (HTTPS)。
他们对连接进行加密,以便网站表单上输入的密码和信用卡数据等敏感数据不会被中间的攻击者截获。
这些证书还用于验证网站并保证数据完整性,这意味着用户和服务器之间交换的信息没有被篡改。
当这些证书过期而未续订时,用户会在浏览器上看到一条警告,告知他们连接不私密或不安全。
目前,这些证书的有效期和域控制验证(DCV)为 398 天,但大多数证书颁发机构都认为,在当今的安全形势下,这太长了。
经过29 票赞成、0 票反对,CA/浏览器论坛现已裁定缩短其有效期,具体如下:
- 自 2026 年 3 月 15 日起,证书有效期和 DCV 将缩短至 200 天
- 自 2027 年 3 月 15 日起,证书有效期和 DCV 将缩短至 100 天
- 自 2029 年 3 月 15 日起,证书有效期将缩短至 47 天,DCV 有效期将缩短至 10 天
缩短证书生命周期必然会增加管理开销,并给处理多个域名的人员带来沉重的负担。然而,预计这将迫使申请证书的公司更频繁地进行重新验证,鼓励自动化,并最终使生态系统更加敏捷和安全。
证书有效期的逐渐缩短为受影响的实体提供了足够的时间来实施和过渡到自动证书续订系统,例如云提供商、Let's Encrypt 或支持 ACME 协议的证书提供商提供的系统。