惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

SecWiki News
SecWiki News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
V
Visual Studio Blog
博客园 - 叶小钗
S
SegmentFault 最新的问题
IT之家
IT之家
大猫的无限游戏
大猫的无限游戏
博客园_首页
Apple Machine Learning Research
Apple Machine Learning Research
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
腾讯CDC
D
Darknet – Hacking Tools, Hacker News & Cyber Security
V
V2EX
阮一峰的网络日志
阮一峰的网络日志
L
Lohrmann on Cybersecurity
量子位
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
J
Java Code Geeks
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
博客园 - 三生石上(FineUI控件)
Attack and Defense Labs
Attack and Defense Labs
AI
AI
The Cloudflare Blog
T
Tailwind CSS Blog
S
Schneier on Security
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Stack Overflow Blog
Stack Overflow Blog
S
Secure Thoughts
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
T
The Exploit Database - CXSecurity.com
博客园 - 【当耐特】
V2EX - 技术
V2EX - 技术
S
Securelist
P
Proofpoint News Feed
T
Threat Research - Cisco Blogs
Help Net Security
Help Net Security
C
Cisco Blogs
N
News and Events Feed by Topic
人人都是产品经理
人人都是产品经理
B
Blog RSS Feed
K
Kaspersky official blog
T
The Blog of Author Tim Ferriss
G
Google Developers Blog
S
Security Affairs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Simon Willison's Weblog
Simon Willison's Weblog

Razeen`s Blog

Let's Encrypt 推出 Gen Y 根证书架构:揭示 Web PKI 的五大未来趋势 通过 Wi-Fi 自动备份你的 iPhone 到 Nas 管理培训感悟:从技术视角看管理之路 UPS 一拖多:保护你的 NAS 和 Linux 服务器 从影音中心到 AI 助手:我的50款 Homelab 服务清单 部署一个自己的 Running Page 谈谈特斯拉 Model Y 用车一年的感受和费用分析 弃用 Disqus 评论,使用自建 Waline 使用 Prometheus 和 Grafana 搭建你的证书监控面板 服务器迁移记:一次磁盘换板引发的Linux分区与挂载的学习 改善信息来源, 利用 RSS 高效获取资讯 (RSShub + Reeder5 + WeWe RSS) 多种 Docker 镜像拉取解决方案与实践 App分享 | AppCleaner - Mac上的卸载神器 Azure OpenAI API 申请和使用 如何开通 OneKey 虚拟信用卡,并充值消费 如何拥有一个可长期在国内使用的国外手机号码 分享开通 ChatGPT Plus 过程 如何开通 Depay 虚拟信用卡,并充值消费 如何开通欧易Web3钱包, 交易入账 如何5分钟内1块钱注册 ChatGPT 如何注册美区的 Apple ID (2023年/无需科学上网) NAS折腾记(11): NASTool3.0体验和降级 NAS折腾记(10): Docker版本的NASTool配置 NAS折腾记(9): NASTool与微信交互,微信发送消息远程下载电影【多图】 NAS折腾记(8):群晖安装 NASTool 实现影音半自动化【多图】 内网穿透(2):Tailscale 组网实现内网穿透,操作简单,无成本 内网穿透(1):总结了11中内网穿透的方式,总有一种适合你 NAS折腾记(7):从零开始设置(黑)群晖系统 NAS折腾记(6):黑群晖系统安装好后怎么洗白? NAS折腾记(5):群晖硬盘休眠设置与分析 NAS折腾记(4): 20分钟手把手带你完美安装 DS918+ 黑群晖7.1.1 NAS折腾记(3):NAS 装机 NAS折腾记(2):B360-ITX 双M.2 双2.5G网口 6 SATA主版 开箱 NAS折腾记(1):328元的4盘位Nas机箱开箱 Openwrt + Clash 全局科学上网 Newifi3 刷入 OpenWrt 固件 v21.02 利用 Markdown 画一些流程图、时序图、甘特图等 Homelab(8): 搭建自用 Gitlab 与 Docker 仓库 Nginx Tcp 转发保留客户端真实 IP (PROXY Protocol) Homelab (7):IPSec VPN(基于证书认证)客户端设置 Homelab (6): 基于自签发证书的 IPSec VPN 搭建 Homelab (5): DDNS 动态域名解析 Homelab (4): Linux 服务器基础环境准备 Homelab (3): 整体网络与基础硬件介绍 Go学习笔记(十)老项目迁移 go module 大型灾难记录 Github Actions 初体验之自动化部署 Hexo 博客 记一次 Nginx DNS 缓存导致转发问题 Homelab (2): 电信悦me网关修改桥接模式,路由器拨号 Homelab (1):5分钟上手黑群晖 NAS 终极 Bash 脚本指南 Typora 自动上传图片到七牛云 Ubuntu 20.04 LTS 有线网卡驱动安装 折腾 Ubuntu 20.04 LTS 开发环境 Go学习笔记(九) 计时器的生命周期[译] 利用 git hook 规范你的代码与 commit message 规范 git commit message 与自动化版本控制 超详细 vim 配置 (with MacVim) Golang 中的 RESTful API 最佳实践 折腾服务器(开篇) 我的第一台个人服务器 Newifi3 实现低成本家庭级科学上网 Go学习笔记(八) | 使用 os/exec 执行命令 如何用 Go 调用 Windows API Mac OS 自动根据 WI-FI 名字改变网络位置 关于 Docker 清理 MIME Types 速查表 Go学习笔记(七) | 理解OAuth 2.0并实现一个客户端 我又又又把博客迁移了 Go学习笔记(六) | 使用swaggo自动生成Restful API文档 Go学习笔记(五) | 使用代码片段(snippets)提高编码效率 书单 - 2018 IPFS 初体验,利用 IPFS 托管你的静态网站 记一次 PostgreSQL LIKE 索引优化,联合字段 LIKE 查询优化。 Disqus 添加有趣的 Reactions 的功能 TLS 1.3 详解 (RFC 8446解读) gRPC在Go中的使用(三)gRPC实现TLS加密通信与流模式 gRPC在Go中的使用(二)gRPC实现简单通讯 gRPC在Go中的使用(一)Protocol Buffers语法与相关使用 CentOS 安装 tshark 抓包工具 Go学习笔记(四) | win上使用VSCode搭建Go开发环境 日常 Postgres 数据库点滴记录 简单了解 PKCS 规范 美食篇 | DIY戚风蛋糕(烤箱做蛋糕) Go学习笔记(三) | 怎么写Go基准测试(性能测试) TLS1.3正式更新,为Nginx添加TLS1.3的支持 一次诡异的数据库删除 GitHub Pages自定义域名开启HTTPS 证书透明度是什么?它是怎么工作的? Go学习笔记(二) | 我对 recover 的一点误解 搭建证书透明度(certificate-transparency)日志服务之从入门到放弃 修复远程登陆 Centos 时,出现 UTF-8 Warning HTTPS篇之SSL握手过程详解 Go学习笔记(一) | postgres与golang点点滴滴 AWS 命令行界面(aws-cli)从安装到快速上手 数字证书分类及怎么区分各类数字证书 常用 linux 命令小结(一)文件目录操作 云服务器搭建 hexo 博客,git hooks自动更新 SSH 免密登陆, SSH Config 配置 Golang CGO Mac 交叉编译 Windows 使用 goose 让数据库迁移更加轻松 开始使用Ghost
从SSL证书有效期将缩短到47天聊开去
2025-04-13 · via Razeen`s Blog

互联网的信任基石正在悄然发生变化。你可能已经注意到,网站地址栏上的小锁头越来越常见,这代表着网站使用了 HTTPS 加密,而 HTTPS 的实现离不开 SSL 证书。就在今天,一个重要的行业动态可能会对所有网站运营者产生深远影响:CA/浏览器论坛(CA/Browser Forum,简称 CABF)通过了一项名为 SC-081 的提案,计划逐步将公开信任的 SSL 证书的最长有效期缩短至 47 天!那么,这项改变意味着什么?又将如何影响我们呢?让我们一起深入探讨。

什么是 SSL 证书及其重要性

在深入探讨有效期缩短之前,我们先简单了解一下 SSL 证书的重要性。你可以将它理解为网站的“数字身份证”,它主要有两个作用:

  • 加密通信: 证书能够加密你的浏览器和网站服务器之间的数据传输,防止第三方窃取或篡改信息,保护用户的隐私和数据安全。
  • 身份验证: 证书可以验证网站的身份,确保你访问的是真正的网站,而不是钓鱼网站。

拥有 SSL 证书的网站会使用 HTTPS 协议,地址栏会显示一个小锁头,这已经成为判断网站是否安全可信的重要标志。

证书有效期缩短的历史进程

事实上,这并不是证书有效期第一次被缩短。回顾历史,你会发现这是一个持续演进的过程 :

  • 早期: 曾经 TLS 证书的有效期可以长达数年。
  • 2012 年: 最长有效期被限制为 60 个月。
  • 2015 年: 最长有效期缩短至 39 个月。
  • 2018 年: 最长有效期进一步缩短至 825 天(约两年)。
  • 2020 年: 在苹果公司的推动下,最长有效期被限制为当前的 398 天(约一年)。

而现在,CABF 通过的 SC-081 提案,将再次大幅缩短这个期限。

深入解读 SC-081 提案

SC-081 提案的全称是“引入减少有效期和数据重用期限计划”。这项提案不仅涉及证书有效期的缩短,还包括域名验证数据重用期限的限制 。

核心内容:

  • 证书最长有效期逐步缩短至 47 天:

    这将通过以下几个阶段实现 :

    • 2026 年 3 月 15 日起: 最长有效期应为 200 天。
    • 2028 年 3 月 15 日起: 最长有效期应为 100 天。
    • 2029 年 3 月 15 日起: 最长有效期最终将降至 47 天
  • 域名验证数据重用期限大幅缩短:

    • 非 SAN 验证数据重用: 最终从 825 天减少到 398 天。
    • SAN 验证数据重用: 到 2028 年 3 月,最终从 398 天减少到仅 10 天
时间节点非 SAN 验证数据重用SAN 验证数据重用证书最长有效期
2026/03/15 之前825 天398 天398 天
2026/03/15 ~ 2027/03/15398 天200 天200 天
2027/03/15 ~ 2029/03/15398 天100 天100 天
2029/03/15 之后398 天10 天47天

这里补充解释一下什么是非 SAN 验证数据重用SAN 验证数据重用

  • 非 SAN 验证数据重用:SSL证书从验证类型上来区分的话分为3种,DV,OV和EV。DV就是域名证书,只要验证了域名的所有权就能签发;OV和EV分别称为企业型和增强型证书,两者出了要验证域名所有权外,还需要对企业的真实性进行审核,EV比OV更严格。那么这里所说的非SAN验证数据一般就是企业信息的验证。也就是说,未来申请OV和EV证书,需要每398天对组织重新进行审核验证。
  • SAN 验证数据重用:SAN就时指SSL证书中包含的域名或者IP。目前像OV/EV证书我们验证一次域名后,该验证有效期持续398天。在该时间内,我们可以随时签发证书。未来将缩短到10天,超过10天就需要重新验证域名所有权。

提案已获通过:

值得注意的是,这项提案已经获得了 CABF 成员的广泛支持并成功通过 。包括 Google、Apple、Microsoft 等主要的浏览器厂商,以及 Sectigo、DigiCert 等证书颁发机构都投了赞成票 。

image-20250413211144568

为什么要缩短证书有效期?

缩短证书有效期并非无的放矢,其背后有着多重安全考量和行业发展趋势 :

  • 增强安全性: 有效期越短,被盗用或错误颁发的证书造成的潜在损害就越小。

    ​ 2011年,黑客入侵 DigiNotar 并错误颁发了数百个伪造证书,其中包括针对 Google 等高价值域名的证书。由于这些证书在被发现和吊销之前拥有较长的潜在有效期,攻击者得以利用它们在一段时间内进行中间人攻击,监视伊朗用户的互联网通信。如果当时证书的有效期更短,攻击者可利用的时间窗口就会大大缩小,从而减少了受影响的用户数量和泄露的信息量。

    ​ 去年,Entrust 错误颁发了超过 26,000 个 EV SSL 证书,但未能及时吊销。如果这些证书的有效期较长,潜在的滥用风险也会相应增加。浏览器最终不再信任该 CA 也反映了长期有效期的风险。

  • 提高可靠性: 确保证书中包含的域名所有权和组织信息能够及时更新,反映最新的真实状态。

    SSL 证书通常包含关于域名所有者以及(对于 OV 和 EV 证书)组织的信息。在较长的有效期内,域名所有权可能会发生变更,组织结构、名称、地址等信息也可能发生变化。如果证书的有效期过长,证书中包含的信息可能不再准确,这会降低证书的可靠性和信任度。

    可以想象,如果一个域名被恶意收购,而该域名仍然持有一个有效期很长的 OV/EV 证书,那么攻击者可能会利用该证书来冒充以前的合法组织,进行网络钓鱼或其他欺诈活动。缩短有效期并要求更频繁的验证可以降低这种风险。

  • 改进验证实践: 更频繁的验证有助于减少错误颁发证书的风险,并促使 CA 采取更严格的验证措施。

    ​ CA 在颁发证书之前需要验证申请者的身份和对域名的控制权。如果证书的有效期很长,CA 可能只需要进行一次验证,而在整个有效期内不再进行额外的检查。缩短有效期意味着 CA 需要更频繁地进行验证。这种更频繁的验证可以促使 CA 投入更多的资源和精力来改进其验证流程,从而降低错误颁发证书的风险。 ​​ 2018年的 Trustico 吊销 Symantec 证书事件中,Trustico 作为经销商处理大量 Symantec 证书,其私钥管理不当和大规模吊销行为暴露了证书管理链条中潜在的风险。更频繁的证书更新和验证可能有助于更早地发现和解决此类问题。

  • 促进自动化: 极短的有效期使得手动管理证书变得几乎不可能,这将倒逼网站所有者采用自动化证书生命周期管理(CLM)工具,例如 ACME 协议。

    ​ 当证书有效期缩短到 47 天时,对于拥有大量证书的网站和组织来说,手动跟踪和续订证书将变得非常繁琐且容易出错。自动化证书管理工具(如 ACME)可以自动完成证书的申请、颁发、部署和续订过程,极大地提高了效率并降低了因证书过期导致服务中断的风险。推动自动化的普及,不仅能够应对更短有效期的挑战,还能提升整个行业的证书管理水平。 ​​ 在过去,Equifax、Azure、Google Voice、Microsoft Teams、Apple 都出现过因证书过期导致服务中断的案例。这表明,即使是大型组织也可能在证书管理方面出现疏忽。如果这些组织能够更早地采用成熟的自动化证书管理方案,这些因过期导致的服务中断事件很可能可以避免。

  • 独立于吊销服务的增强安全性: 即使证书没有被及时吊销,其较短的有效期也能限制其被滥用的时间。

    ​ 现有的证书吊销机制(如 CRL 和 OCSP)并非完美,会存在延迟或覆盖不全的问题。如果一个被盗用或错误颁发的证书没有被及时吊销,它仍然可以在有效期内被滥用。

    ​ 缩短证书有效期提供了一种“内置”的安全机制:即使吊销失败或延迟,恶意证书的有效时间也是有限的,最终会因过期而失效,从而限制了其被滥用的时间窗口。

  • 促进密码敏捷性: 更容易推动使用新的、更安全的加密算法。

    ​ 密码学在不断发展,新的、更安全的加密算法不断被开发出来,而旧的算法可能会被发现存在安全漏洞。对于有效期较长的证书,要推动整个行业更新到新的加密算法可能需要很长时间。

    ​ 缩短证书有效期意味着证书需要更频繁地更换,这为在更换过程中采用新的、更安全的加密算法提供了机会,从而提高了整个 Web PKI 的安全性。

对网站所有者和组织的影响

证书有效期缩短至 47 天,对网站所有者和组织来说,最直接的影响就是需要更加重视证书的管理 :

  • 自动化是关键: 手动续订证书将变得非常困难甚至不可能。你需要部署自动化工具来管理证书的申请、颁发和续订。

  • 续订频率增加: 你需要更频繁地更新你的证书,以确保网站的正常运行。

  • 可能增加成本: 虽然自动化可以提高效率,但某些自动化解决方案或更频繁的证书操作可能会带来一定的成本增加。

  • 及时续订至关重要: 一旦证书过期,网站将无法通过 HTTPS 访问,这会严重影响用户体验和网站的信誉。

  • 域名验证更加频繁: SAN 验证数据重用期限的缩短意味着对于包含多个域名的证书,你需要更频繁地进行域名控制验证。

如何应对?给网站所有者的建议

面对即将到来的变革,网站所有者应该积极准备,以下是一些建议 :

  • 立即开始拥抱自动化: 如果你还没有使用自动化证书管理工具,现在是时候开始调研和部署了。ACME 协议是一个被广泛采用的开放标准,可以帮助你实现证书的自动续订。
  • 选择合适的证书管理方案: 根据你的网站规模和技术架构,选择合适的证书管理解决方案,例如使用云服务提供商的集成方案或第三方的证书生命周期管理平台。
  • 关注 DNS 验证: DNS 验证是一种常用的自动化验证方式,你需要确保你的 DNS 管理配置正确,以便顺利进行自动化验证。
  • 与你的证书颁发机构合作: 选择能够提供良好自动化支持和服务的 CA。
  • 提前规划和测试: 在新的有效期限制生效之前,充分测试你的自动化流程,确保一切正常运行。
  • 保持关注行业动态: 及时了解 CABF 的最新进展和要求,以便做出相应的调整。

总结与展望

证书有效期缩短至 47 天是 Web 安全领域的一个重要里程碑,它反映了行业对安全性和敏捷性的持续追求。虽然短期内可能会给网站运营带来一些挑战,但从长远来看,这将有助于构建一个更加安全、可靠的互联网环境。自动化将成为应对这一变化的关键,未能及时采用自动化的网站可能会面临运营上的巨大压力。让我们积极拥抱变化,为更安全的网络世界共同努力!

参考