最近,苹果公司在CA/B论坛上提出了一项具有深远影响的建议,旨在进一步缩短SSL/TLS证书的有效期限。作为保护网站数据传输安全的重要机制,SSL/TLS证书的有效期调整引发了业界的广泛关注。经过CA/B论坛服务器证书工作组的深入讨论与投票,提案SC-081v3获得通过,决定将证书有效期从原有的398天骤减至47天。同时,证书中主题备用名称(SAN)数据的重用周期被限制在10天之内。这一重大变革显示了网络安全政策的显著升级。
自 2026 年 3 月 15 日起,证书有效期和 DCV 将缩短至 200 天
自 2027 年 3 月 15 日起,证书有效期和 DCV 将缩短至 100 天
自 2029 年 3 月 15 日起,证书有效期将缩短至 47 天,DCV 有效期将缩短至 10 天
回顾历史,SSL/TLS证书的有效期一度曾延长至8年,但随着网络安全威胁的日益严重,证书的有效期经历了多次缩短,最终达到398天。而苹果的最新措施旨在通过减少证书的有效时间,降低潜在的安全风险,尤其是防止证书一旦泄露后给攻击者留下的可乘之机。苹果的理由十分明确:缩短有效期即使在证书不慎泄露的情况下,也能显著减少攻击者的活动窗口。
投票过程中,证书颁发机构(CA)表现出几乎一边倒的支持态度,以25票赞成、0票反对和5票弃权的结果通过了这一提案。此外,主要浏览器厂商如谷歌、微软与Mozilla等也纷纷表示支持,显示出行业对增强网络安全的共识。
提议得到通过后,将进入知识产权审查阶段,而实施将会分阶段进行以确保平稳过渡。从2026年3月起,证书有效期将逐步缩短,直到2029年3月完全实施。具体时间表如下:2026年3月14日之前,证书有效期可达398天;到2027年3月14日,最多为200天;再到2028年3月14日,缩短至100天;最后,自2028年3月15日起,证书有效期恒定为47天。然而,此变化并非没有阻力,很多系统管理员对此表示忧虑,认为频繁更新证书将为他们的工作带来不少挑战。
尽管存在这些担忧,但从整体网络安全的视角来看,缩短SSL/TLS证书有效期无疑是一项旨在提升网络环境安全的重要举措。随着实施日期的临近,各行各业需要积极调整以适应这一变化,以确保网络服务的安全与稳定。
IDC头条