SSL/TLS证书最长有效期将缩短至47天

IT之家 4 月 14 日消息，SSL / TLS 证书是一种用于网站的安全协议，苹果此前向 CA / B 论坛 (负责管理 SSL / TLS 证书的行业组织) 提议将所有证书有效期缩短至 45 天。

经过一系列讨论，4 月 13 日，CA / B 论坛服务器证书工作组投票通过 SC-081v3 提案，最终决定逐步缩短公开信任 TLS 证书有效期及数据重用周期。提案规定证书有效期从 398 天降至 47 天（比 45 天略有延长），SAN 数据重用周期缩短至 10 天。提案满足 CA / B 论坛章程要求，进入知识产权审查阶段。

IT之家附投票结果：

• 证书颁发机构（CA）：赞成票 25、反对票 0、弃权票 5

• CA 赞成票 25： Amazon, Asseco Data Systems SA (Certum), Buypass AS, Certigna (DHIMYOTIS), Certinomis, DigiCert, Disig, D-TRUST, eMudhra, Fastly, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, NAVER Cloud Trust Services, OISTE Foundation, Sectigo, SHECA, SSL.com, SwissSign, Telia Company, TrustAsia, VikingCloud, Visa

• CA 弃权票 5：Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA

• 证书消费者：赞成票 4（苹果、谷歌、微软、Mozilla）、反对票 0、弃权票 0

SSL / TLS 证书是一个数字对象，它允许系统验证身份，然后使用安全套接字层 / 传输层安全性（SSL / TLS）协议建立到另一个系统的加密网络连接。证书在名为公有密钥基础设施（PKI）的加密系统中使用。通过 PKI，在双方都信任同一个第三方（称为证书颁发机构）的情况下，一方可以确认使用证书的另一方的身份。SSL / TLS 证书可用作数字身份证来保护网络通信的安全，确认网站在互联网上的身份以及资源在私有网络上的身份。

SSL / TLS 证书在网站用户之间建立信任。企业在 Web 服务器上安装 SSL / TLS 证书，以创建受 SSL / TLS 保护的网站。受 SSL / TLS 保护的网页的特征如下：

• Web 浏览器中的挂锁图标和绿色地址栏

• 浏览器网站地址中的 https 前缀

• 有效的 SSL / TLS 证书。您可以通过单击并展开 URL 地址栏中的挂锁图标来检查 SSL / TLS 证书是否有效

• 建立加密连接后，只有客户端和 Web 服务器才能看到发送的数据

提案称，证书是现实状态在某一时刻的表示。也就是说，在证书签发时，其中认证的所有数据都是正确的，并且该认证所遵循的过程在该时刻被准确记录（存在一些例外）。从签发那一刻起，经过的时间越长，证书中代表的数据与现实相偏离的可能性就越大。因此，缩短证书有效期限和数据重用期限可以提高证书的平均净可靠性。

要求更频繁地验证用于颁发证书的信息，并降低证书的最大有效期，可以减少不当验证的风险、不当验证持续的范围以及误发证书对生态系统及其依赖方的负面影响的机会。

这项有效期减少措施建议从 2026 年 3 月开始，到 2029 年 3 月结束：

• 2026 年 03 月 14 日前：证书有效期最长为 398 天

• 2027 年 03 月 14 日前：证书有效期最长缩短至 200 天

• 2028 年 03 月 14 日前：证书有效期最长缩短至 100 天

• 2028 年 03 月 15 日后：证书有效期最长缩短至 47 天