





















互联网的信任基石正在悄然发生变化。你可能已经注意到,网站地址栏上的小锁头越来越常见,这代表着网站使用了 HTTPS 加密,而 HTTPS 的实现离不开 SSL 证书。就在今天,一个重要的行业动态可能会对所有网站运营者产生深远影响:CA/浏览器论坛(CA/Browser Forum,简称 CABF)通过了一项名为 SC-081 的提案,计划逐步将公开信任的 SSL 证书的最长有效期缩短至 47 天!那么,这项改变意味着什么?又将如何影响我们呢?让我们一起深入探讨。
在深入探讨有效期缩短之前,我们先简单了解一下 SSL 证书的重要性。你可以将它理解为网站的“数字身份证”,它主要有两个作用:
拥有 SSL 证书的网站会使用 HTTPS 协议,地址栏会显示一个小锁头,这已经成为判断网站是否安全可信的重要标志。
事实上,这并不是证书有效期第一次被缩短。回顾历史,你会发现这是一个持续演进的过程 :
而现在,CABF 通过的 SC-081 提案,将再次大幅缩短这个期限。
SC-081 提案的全称是“引入减少有效期和数据重用期限计划”。这项提案不仅涉及证书有效期的缩短,还包括域名验证数据重用期限的限制 。
核心内容:
证书最长有效期逐步缩短至 47 天:
这将通过以下几个阶段实现 :
域名验证数据重用期限大幅缩短:
| 时间节点 | 非 SAN 验证数据重用 | SAN 验证数据重用 | 证书最长有效期 |
|---|---|---|---|
| 2026/03/15 之前 | 825 天 | 398 天 | 398 天 |
| 2026/03/15 ~ 2027/03/15 | 398 天 | 200 天 | 200 天 |
| 2027/03/15 ~ 2029/03/15 | 398 天 | 100 天 | 100 天 |
| 2029/03/15 之后 | 398 天 | 10 天 | 47天 |
这里补充解释一下什么是非 SAN 验证数据重用和SAN 验证数据重用:
提案已获通过:
值得注意的是,这项提案已经获得了 CABF 成员的广泛支持并成功通过 。包括 Google、Apple、Microsoft 等主要的浏览器厂商,以及 Sectigo、DigiCert 等证书颁发机构都投了赞成票 。

缩短证书有效期并非无的放矢,其背后有着多重安全考量和行业发展趋势 :
增强安全性: 有效期越短,被盗用或错误颁发的证书造成的潜在损害就越小。
2011年,黑客入侵 DigiNotar 并错误颁发了数百个伪造证书,其中包括针对 Google 等高价值域名的证书。由于这些证书在被发现和吊销之前拥有较长的潜在有效期,攻击者得以利用它们在一段时间内进行中间人攻击,监视伊朗用户的互联网通信。如果当时证书的有效期更短,攻击者可利用的时间窗口就会大大缩小,从而减少了受影响的用户数量和泄露的信息量。
去年,Entrust 错误颁发了超过 26,000 个 EV SSL 证书,但未能及时吊销。如果这些证书的有效期较长,潜在的滥用风险也会相应增加。浏览器最终不再信任该 CA 也反映了长期有效期的风险。
提高可靠性: 确保证书中包含的域名所有权和组织信息能够及时更新,反映最新的真实状态。
SSL 证书通常包含关于域名所有者以及(对于 OV 和 EV 证书)组织的信息。在较长的有效期内,域名所有权可能会发生变更,组织结构、名称、地址等信息也可能发生变化。如果证书的有效期过长,证书中包含的信息可能不再准确,这会降低证书的可靠性和信任度。
可以想象,如果一个域名被恶意收购,而该域名仍然持有一个有效期很长的 OV/EV 证书,那么攻击者可能会利用该证书来冒充以前的合法组织,进行网络钓鱼或其他欺诈活动。缩短有效期并要求更频繁的验证可以降低这种风险。
改进验证实践: 更频繁的验证有助于减少错误颁发证书的风险,并促使 CA 采取更严格的验证措施。
CA 在颁发证书之前需要验证申请者的身份和对域名的控制权。如果证书的有效期很长,CA 可能只需要进行一次验证,而在整个有效期内不再进行额外的检查。缩短有效期意味着 CA 需要更频繁地进行验证。这种更频繁的验证可以促使 CA 投入更多的资源和精力来改进其验证流程,从而降低错误颁发证书的风险。 2018年的 Trustico 吊销 Symantec 证书事件中,Trustico 作为经销商处理大量 Symantec 证书,其私钥管理不当和大规模吊销行为暴露了证书管理链条中潜在的风险。更频繁的证书更新和验证可能有助于更早地发现和解决此类问题。
促进自动化: 极短的有效期使得手动管理证书变得几乎不可能,这将倒逼网站所有者采用自动化证书生命周期管理(CLM)工具,例如 ACME 协议。
当证书有效期缩短到 47 天时,对于拥有大量证书的网站和组织来说,手动跟踪和续订证书将变得非常繁琐且容易出错。自动化证书管理工具(如 ACME)可以自动完成证书的申请、颁发、部署和续订过程,极大地提高了效率并降低了因证书过期导致服务中断的风险。推动自动化的普及,不仅能够应对更短有效期的挑战,还能提升整个行业的证书管理水平。 在过去,Equifax、Azure、Google Voice、Microsoft Teams、Apple 都出现过因证书过期导致服务中断的案例。这表明,即使是大型组织也可能在证书管理方面出现疏忽。如果这些组织能够更早地采用成熟的自动化证书管理方案,这些因过期导致的服务中断事件很可能可以避免。
独立于吊销服务的增强安全性: 即使证书没有被及时吊销,其较短的有效期也能限制其被滥用的时间。
现有的证书吊销机制(如 CRL 和 OCSP)并非完美,会存在延迟或覆盖不全的问题。如果一个被盗用或错误颁发的证书没有被及时吊销,它仍然可以在有效期内被滥用。
缩短证书有效期提供了一种“内置”的安全机制:即使吊销失败或延迟,恶意证书的有效时间也是有限的,最终会因过期而失效,从而限制了其被滥用的时间窗口。
促进密码敏捷性: 更容易推动使用新的、更安全的加密算法。
密码学在不断发展,新的、更安全的加密算法不断被开发出来,而旧的算法可能会被发现存在安全漏洞。对于有效期较长的证书,要推动整个行业更新到新的加密算法可能需要很长时间。
缩短证书有效期意味着证书需要更频繁地更换,这为在更换过程中采用新的、更安全的加密算法提供了机会,从而提高了整个 Web PKI 的安全性。
证书有效期缩短至 47 天,对网站所有者和组织来说,最直接的影响就是需要更加重视证书的管理 :
自动化是关键: 手动续订证书将变得非常困难甚至不可能。你需要部署自动化工具来管理证书的申请、颁发和续订。
续订频率增加: 你需要更频繁地更新你的证书,以确保网站的正常运行。
可能增加成本: 虽然自动化可以提高效率,但某些自动化解决方案或更频繁的证书操作可能会带来一定的成本增加。
及时续订至关重要: 一旦证书过期,网站将无法通过 HTTPS 访问,这会严重影响用户体验和网站的信誉。
域名验证更加频繁: SAN 验证数据重用期限的缩短意味着对于包含多个域名的证书,你需要更频繁地进行域名控制验证。
面对即将到来的变革,网站所有者应该积极准备,以下是一些建议 :
证书有效期缩短至 47 天是 Web 安全领域的一个重要里程碑,它反映了行业对安全性和敏捷性的持续追求。虽然短期内可能会给网站运营带来一些挑战,但从长远来看,这将有助于构建一个更加安全、可靠的互联网环境。自动化将成为应对这一变化的关键,未能及时采用自动化的网站可能会面临运营上的巨大压力。让我们积极拥抱变化,为更安全的网络世界共同努力!
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。