近日,CA/B论坛服务器证书工作组(SCWG)投票通过一项重大提案《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》,最终决定:从2026年起SSL/TLS证书的最大有效期将从398天逐步缩短至47天,并计划在2029年全面落实执行。
这一变革旨在通过缩短证书有效期提升验证频次,减少因SSL证书密钥泄露带来的安全风险;然而这一变化也带来管理上的挑战,尤其应对证书频繁更新和部署方面的难点。
重大变化
经过一系列讨论,CA/B 论坛服务器证书工作组投票通过 SC-081v3 提案,最终决定逐步缩短公开信任的SSL/ TLS 证书最大有效期及验证数据重用周期。自2010年起,SSL证书有效期已从最长8年逐步缩短至目前的398天(约13个月);此次提案通过将进一步大幅缩短证书有效期,为SSL证书行业带来新一轮变革。
重大变化包括:
1-SSL/TLS证书最大有效期缩短
SSL/TLS证书最大有效期将由目前的 398 天逐步缩短为200天、100天,最终在2029年3月起缩短至 47天;
2-验证数据重复使用期限缩短
•非 SAN 验证数据的重复使用期限将从 825 天缩短至 398 天。
•SANs(域名/IP)验证数据的重复使用期限将从 398 天逐步缩短为200天、100天,最终在2029年3月起缩短至 10 天。
对网站所有者和组织的影响
证书有效期缩短至 47 天,对网站所有者和组织来说,最直接的影响就是需要更加重视证书的管理 :
自动化是关键: 手动续订证书将变得非常困难甚至不可能。你需要部署自动化工具来管理证书的申请、颁发和续订。
续订频率增加: 你需要更频繁地更新你的证书,以确保网站的正常运行。
可能增加成本: 虽然自动化可以提高效率,但某些自动化解决方案或更频繁的证书操作可能会带来一定的成本增加。
及时续订至关重要: 一旦证书过期,网站将无法通过 HTTPS 访问,这会严重影响用户体验和网站的信誉。
域名验证更加频繁: SAN 验证数据重用期限的缩短意味着对于包含多个域名的证书,你需要更频繁地进行域名控制验证。
如何应对?给网站所有者的建议
面对即将到来的变革,网站所有者应该积极准备,以下是一些建议 :
立即开始拥抱自动化: 如果你还没有使用自动化证书管理工具,现在是时候开始调研和部署了。ACME 协议是一个被广泛采用的开放标准,可以帮助你实现证书的自动续订。
选择合适的证书管理方案: 根据你的网站规模和技术架构,选择合适的证书管理解决方案,例如使用云服务提供商的集成方案或第三方的证书生命周期管理平台。
关注 DNS 验证: DNS 验证是一种常用的自动化验证方式,你需要确保你的 DNS 管理配置正确,以便顺利进行自动化验证。
与你的证书颁发机构合作: 选择能够提供良好自动化支持和服务的 CA。
提前规划和测试: 在新的有效期限制生效之前,充分测试你的自动化流程,确保一切正常运行。
保持关注行业动态: 及时了解 CABF 的最新进展和要求,以便做出相应的调整。
总结与展望
证书有效期缩短至 47 天是 Web 安全领域的一个重要里程碑,它反映了行业对安全性和敏捷性的持续追求。虽然短期内可能会给网站运营带来一些挑战,但从长远来看,这将有助于构建一个更加安全、可靠的互联网环境。自动化将成为应对这一变化的关键,未能及时采用自动化的网站可能会面临运营上的巨大压力。让我们积极拥抱变化,为更安全的网络世界共同努力!
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。