正在閱讀:

SSL證書有效期降到47天,全球網(wǎng)站站長有得忙了

掃一掃下載界面新聞APP

SSL證書有效期降到47天,全球網(wǎng)站站長有得忙了

事實(shí)上,這已經(jīng)不是SSL/TLS證書的有效期第一次被縮短,它從最初的10年一步步縮減為8年、5年、2年、398天,再到即將落地的47天。

三易生活 ·

文|三易生活

一覺醒來,網(wǎng)站站長的天可能都要塌了。就在4月12日,CA/B論壇 (負(fù)責(zé)管理SSL/TLS證書的行業(yè)組織) 的服務(wù)器證書工作組投票通過了SC-081v3提案,從2026年3月14日開始,SSL/TLS證書的有效期將會從目前的398天縮短至47天,SANs(域名/IP)驗(yàn)證數(shù)據(jù)重復(fù)使用期限則會從398天縮短到10天。

據(jù)悉,《SC-081v3: 引入縮短有效期和數(shù)據(jù)重復(fù)使用期的時(shí)間表》是蘋果方面在去年秋季向CA/B論壇提交的投票表決草案,其一經(jīng)曝光就引發(fā)了網(wǎng)站站長的不滿,但掌握話語權(quán)的SSL/TLS行業(yè)組織和瀏覽器廠商都堅(jiān)定站在了蘋果這邊。此次SC-081v3提案最終的投票結(jié)果,也是29票贊成、5票棄權(quán)、0票反對。

事實(shí)上,這已經(jīng)不是SSL/TLS證書的有效期第一次被縮短,它從最初的10年一步步縮減為8年、5年、2年、398天,再到即將落地的47天。那么為什么SSL/TLS證書的有效期會不斷變短?這其實(shí)是谷歌Chrome、蘋果Safari等瀏覽器巨頭在作祟。

相比SSL(安全套接層)和TLS(傳輸層安全)證書被用于確保互聯(lián)網(wǎng)通訊的隱私性和完整性,SSL/TLS證書主要是用于驗(yàn)證網(wǎng)站的身份,從而確保瀏覽器訪問的web服務(wù)器是URL對應(yīng)的,同時(shí)對網(wǎng)站和訪問者之間的數(shù)據(jù)傳輸加密,保護(hù)數(shù)據(jù)不被未經(jīng)授權(quán)的第三方竊取。

在通過瀏覽器訪問互聯(lián)網(wǎng)的過程中,用戶在瀏覽器中輸入網(wǎng)址之后,瀏覽器首先會檢閱目標(biāo)網(wǎng)站的服務(wù)器里存儲的SSL/TLS證書、以“驗(yàn)明正身”。比如一個(gè)網(wǎng)站獲得了SSL/TLS證書,那么其相應(yīng)的URL中就會顯示HTTPS,以提示該網(wǎng)站是安全的。

一旦出現(xiàn)TLC/SSL證書無效,用戶就會看到一條警告,聲稱連接不是私有的,這也就意味著瀏覽器無法與網(wǎng)站建立安全的加密連接。由于此時(shí)瀏覽器會警告用戶訪問該網(wǎng)站存在風(fēng)險(xiǎn),所以為了安全考量,絕大多數(shù)網(wǎng)民都會放棄繼續(xù)訪問。

對于網(wǎng)站的站長來說,如果沒有TLC/SSL證書或證書過期,也就意味著訪問量暴跌,而沒有訪客則代表網(wǎng)站掛載的廣告沒有點(diǎn)擊,會直接影響到收入。所以確保TLC/SSL證書的有效性,就關(guān)乎網(wǎng)站站長的收入。

顯而易見,網(wǎng)站站長自然是希望TLC/SSL證書的有效期越長越好,必經(jīng)頻繁申請和更換SSL證書會給運(yùn)維帶來巨大的壓力,人為錯誤導(dǎo)致的配置風(fēng)險(xiǎn)也將加劇。其實(shí)不僅僅是網(wǎng)站站長不希望TLC/SSL證書的有效期縮短,負(fù)責(zé)簽發(fā)TLC/SSL證書有效期的數(shù)字證書認(rèn)證中心(下文將簡稱為CA)同樣也不希望看到這一幕。

由于CA的商業(yè)模式是向網(wǎng)站售賣TLC/SSL證書,所以自然是希望可以一次性收取更多的費(fèi)用。并且數(shù)字證書頒發(fā)本身的技術(shù)門檻也不高,甚至于可以自行簽發(fā)SSL證書,這也是為什么CA/B論壇上進(jìn)行投票的CA組織會高達(dá)30家的原因。

激烈的市場競爭環(huán)境,就意味著任何一家CA都希望長期綁定用戶,畢竟TLC/SSL證書只有47天有效期,客戶到時(shí)候不一定會續(xù)費(fèi)。然而遺憾的是,相比于瀏覽器,CA處于弱勢地位,瀏覽器的信任才是任何一家CA存續(xù)的基石。如果與瀏覽器鬧掰了,CA頒發(fā)的證書就與大家自行簽發(fā)的證書是一回事了。

那么為何瀏覽器巨頭都想要縮短TLC/SSL證書的有效期呢?答案是有效期越短,用戶通過瀏覽器訪問網(wǎng)絡(luò)的安全性就會越高,所以為了用戶體驗(yàn),瀏覽器廠商自然是動力十足。盡管TLC/SSL證書使用了RSA 2048等非對稱加密技術(shù),但在實(shí)際應(yīng)用中,RSA密鑰可能會因?yàn)槟承┰虿糠中孤叮鴷r(shí)間越長,被破解的風(fēng)險(xiǎn)自然也就越大。

因此縮短TLC/SSL證書的有效期,就可以讓CA更加頻繁地輪換密鑰,進(jìn)而確保證書本身的安全性。與此同時(shí),由于每一次申請TLC/SSL證書都需要“驗(yàn)明正身”,所以縮短證書的有效期,就可以使得CA的服務(wù)器更頻繁地對網(wǎng)站的最新信息進(jìn)行驗(yàn)證,從而確保網(wǎng)站的真實(shí)身份及其安全性。

雖然縮短TLC/SSL證書的有效期是瀏覽器廠商為了用戶安全上網(wǎng)做出的努力,但代價(jià)卻是由CA和網(wǎng)站站長來承擔(dān)。一旦TLC/SSL證書的有效期從398天變成47天,網(wǎng)站站長為了避免因證書過期導(dǎo)致流量下降,就需要隔三差五關(guān)注證書的有效期。

簡而言之,瀏覽器廠商為了自家產(chǎn)品的用戶體驗(yàn),選擇將麻煩丟給CA和網(wǎng)站站長。本來如今各大CA之間的競爭就足夠激烈,未來站長在維護(hù)網(wǎng)站的同時(shí),恐怕就要更頻繁接到各家CA打來的推銷電話了。

 
本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。

評論

暫無評論哦,快來評價(jià)一下吧!

下載界面新聞

微信公眾號

微博

SSL證書有效期降到47天,全球網(wǎng)站站長有得忙了

事實(shí)上,這已經(jīng)不是SSL/TLS證書的有效期第一次被縮短,它從最初的10年一步步縮減為8年、5年、2年、398天,再到即將落地的47天。

三易生活 · 2025/04/16 13:33

文|三易生活

一覺醒來,網(wǎng)站站長的天可能都要塌了。就在4月12日,CA/B論壇 (負(fù)責(zé)管理SSL/TLS證書的行業(yè)組織) 的服務(wù)器證書工作組投票通過了SC-081v3提案,從2026年3月14日開始,SSL/TLS證書的有效期將會從目前的398天縮短至47天,SANs(域名/IP)驗(yàn)證數(shù)據(jù)重復(fù)使用期限則會從398天縮短到10天。

據(jù)悉,《SC-081v3: 引入縮短有效期和數(shù)據(jù)重復(fù)使用期的時(shí)間表》是蘋果方面在去年秋季向CA/B論壇提交的投票表決草案,其一經(jīng)曝光就引發(fā)了網(wǎng)站站長的不滿,但掌握話語權(quán)的SSL/TLS行業(yè)組織和瀏覽器廠商都堅(jiān)定站在了蘋果這邊。此次SC-081v3提案最終的投票結(jié)果,也是29票贊成、5票棄權(quán)、0票反對。

事實(shí)上,這已經(jīng)不是SSL/TLS證書的有效期第一次被縮短,它從最初的10年一步步縮減為8年、5年、2年、398天,再到即將落地的47天。那么為什么SSL/TLS證書的有效期會不斷變短?這其實(shí)是谷歌Chrome、蘋果Safari等瀏覽器巨頭在作祟。

相比SSL(安全套接層)和TLS(傳輸層安全)證書被用于確?;ヂ?lián)網(wǎng)通訊的隱私性和完整性,SSL/TLS證書主要是用于驗(yàn)證網(wǎng)站的身份,從而確保瀏覽器訪問的web服務(wù)器是URL對應(yīng)的,同時(shí)對網(wǎng)站和訪問者之間的數(shù)據(jù)傳輸加密,保護(hù)數(shù)據(jù)不被未經(jīng)授權(quán)的第三方竊取。

在通過瀏覽器訪問互聯(lián)網(wǎng)的過程中,用戶在瀏覽器中輸入網(wǎng)址之后,瀏覽器首先會檢閱目標(biāo)網(wǎng)站的服務(wù)器里存儲的SSL/TLS證書、以“驗(yàn)明正身”。比如一個(gè)網(wǎng)站獲得了SSL/TLS證書,那么其相應(yīng)的URL中就會顯示HTTPS,以提示該網(wǎng)站是安全的。

一旦出現(xiàn)TLC/SSL證書無效,用戶就會看到一條警告,聲稱連接不是私有的,這也就意味著瀏覽器無法與網(wǎng)站建立安全的加密連接。由于此時(shí)瀏覽器會警告用戶訪問該網(wǎng)站存在風(fēng)險(xiǎn),所以為了安全考量,絕大多數(shù)網(wǎng)民都會放棄繼續(xù)訪問。

對于網(wǎng)站的站長來說,如果沒有TLC/SSL證書或證書過期,也就意味著訪問量暴跌,而沒有訪客則代表網(wǎng)站掛載的廣告沒有點(diǎn)擊,會直接影響到收入。所以確保TLC/SSL證書的有效性,就關(guān)乎網(wǎng)站站長的收入。

顯而易見,網(wǎng)站站長自然是希望TLC/SSL證書的有效期越長越好,必經(jīng)頻繁申請和更換SSL證書會給運(yùn)維帶來巨大的壓力,人為錯誤導(dǎo)致的配置風(fēng)險(xiǎn)也將加劇。其實(shí)不僅僅是網(wǎng)站站長不希望TLC/SSL證書的有效期縮短,負(fù)責(zé)簽發(fā)TLC/SSL證書有效期的數(shù)字證書認(rèn)證中心(下文將簡稱為CA)同樣也不希望看到這一幕。

由于CA的商業(yè)模式是向網(wǎng)站售賣TLC/SSL證書,所以自然是希望可以一次性收取更多的費(fèi)用。并且數(shù)字證書頒發(fā)本身的技術(shù)門檻也不高,甚至于可以自行簽發(fā)SSL證書,這也是為什么CA/B論壇上進(jìn)行投票的CA組織會高達(dá)30家的原因。

激烈的市場競爭環(huán)境,就意味著任何一家CA都希望長期綁定用戶,畢竟TLC/SSL證書只有47天有效期,客戶到時(shí)候不一定會續(xù)費(fèi)。然而遺憾的是,相比于瀏覽器,CA處于弱勢地位,瀏覽器的信任才是任何一家CA存續(xù)的基石。如果與瀏覽器鬧掰了,CA頒發(fā)的證書就與大家自行簽發(fā)的證書是一回事了。

那么為何瀏覽器巨頭都想要縮短TLC/SSL證書的有效期呢?答案是有效期越短,用戶通過瀏覽器訪問網(wǎng)絡(luò)的安全性就會越高,所以為了用戶體驗(yàn),瀏覽器廠商自然是動力十足。盡管TLC/SSL證書使用了RSA 2048等非對稱加密技術(shù),但在實(shí)際應(yīng)用中,RSA密鑰可能會因?yàn)槟承┰虿糠中孤?,而時(shí)間越長,被破解的風(fēng)險(xiǎn)自然也就越大。

因此縮短TLC/SSL證書的有效期,就可以讓CA更加頻繁地輪換密鑰,進(jìn)而確保證書本身的安全性。與此同時(shí),由于每一次申請TLC/SSL證書都需要“驗(yàn)明正身”,所以縮短證書的有效期,就可以使得CA的服務(wù)器更頻繁地對網(wǎng)站的最新信息進(jìn)行驗(yàn)證,從而確保網(wǎng)站的真實(shí)身份及其安全性。

雖然縮短TLC/SSL證書的有效期是瀏覽器廠商為了用戶安全上網(wǎng)做出的努力,但代價(jià)卻是由CA和網(wǎng)站站長來承擔(dān)。一旦TLC/SSL證書的有效期從398天變成47天,網(wǎng)站站長為了避免因證書過期導(dǎo)致流量下降,就需要隔三差五關(guān)注證書的有效期。

簡而言之,瀏覽器廠商為了自家產(chǎn)品的用戶體驗(yàn),選擇將麻煩丟給CA和網(wǎng)站站長。本來如今各大CA之間的競爭就足夠激烈,未來站長在維護(hù)網(wǎng)站的同時(shí),恐怕就要更頻繁接到各家CA打來的推銷電話了。

 
本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。