2025年4月12日,网络安全领域迎来重大变革,CA/B论坛通过了关于SSL/TLS证书有效期缩短的提案《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》,提案中规定:
从2026年起,SSL/TLS证书的最大有效期将从现在的398天缩短至 47天,并将在2029年全面落实。目前该提案已进入知识产权审查阶段。
一、重大变化
依据《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》提案,主要有2个重大变化:
1、SSL/TLS证书最大有效期缩短
SSL/TLS证书有效期将从现在的398天缩短至47天。
2、验证数据重复使用期缩短
非SAN验证数据重复使用期限将从825天缩短至398天。
SANs(域名/IP)验证数据重复使用期限将从398天缩短至10天。
缩短有效期和验证数据重复使用期的执行时间表如下:
二、有什么影响?
尽管这一提案得到了SSL/TLS证书行业组织,以及苹果、谷歌、微软等证书消费者的广泛支持,但对企业而言,影响巨大,会让企业面临诸多挑战:
- 1、管理难题:SSL/TLS证书有效期缩短,会让企业愈加频繁的申请和更换SSL证书,给拥有多张证书的企业带来管理上的困难。
- 2、配置风险:频繁的申请和更换SSL证书,工作量剧增,会给运维带来巨大的压力,人为错误导致的配置风险将加剧。
- 3、服务中断:短有效期的证书,频繁的证书更新,更易造成因SSL证书到期或配置错误导致的服务中断。
三、企业如何应对?
运用SSL/TLS自动化运维系统,全链路自动化管理SSL证书生命周期,实现对SSL证书的自动续签、自动推送、自动部署、自动发现、自动监控和自动预警等,帮助企业自动化管理SSL证书,避免因证书过期或错误配置导致的服务中断。
1、自动化证书管理
实现自动化管理SSL证书的申请、部署、续签等全生命周期,免去运维团队的繁琐操作,提高管理效率,避免因人为疏忽或过失导致的SSL证书过期或配置错误。
2、证书发现与监控
实时监控证书状态,确保所有SSL证书都被及时发现和纳入管理范围,无论是丢失、泄露还是未使用的证书,都能够随时掌控,并在关键时刻拉响警报。
3、证书安全合规
接入全球主流证书颁发CA机构,确保所有的SSL证书和相关部署符合合规要求。并可通过内置的合规规则进行合规判断,对不合规情况及时预警。
SSL证书有效期不断缩短,企业管理愈加困难,我们可以利用SSL/TLS自动化运维系统来有效应对,帮助企业解决管理难题,降低人为错误风险,避免因证书问题导致的服务中断。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。