9月1日起,新TLS证书有效期将从27个月(825天)改为398天。为了提高安全性,Apple、Google和Mozilla将拒绝在各自的浏览器中使用创建日期早于13个月(或398天)的公共数字证书。在过去十年中,SSL/TLS证书的使用寿命显着缩短。2011年,CA/B,CA和浏览器软件供应商组成的团体,将证书有效期从最早的8-10年缩短到5年。2015年由5年缩短为3年,2018年缩短为2年。而在2019年,虽然将证书有效期缩短至一年的提议被否决,但该措施仍然得到了苹果、谷歌、微软、Mozilla和Opera等浏览器制造商的压倒性支持。今年2月,Apple首次宣布拒绝在9月1日或之后颁发的有效期超过398天的新TLS证书。此后,Google和Mozilla也纷纷效仿。有效期超过398天怎么办?TLS服务器连接将失败,网站将无法加载。对于一些企业来说,他们不想每年都更换证书,但是基于安全性又不得不这样做。一方面,短期证书替换确保了Web开发人员始终使用最新的SSL证书加密标准和技术。另一方面,它也降低了黑客使用旧的或被忽视的SSL证书进行网络钓鱼或恶意软件攻击的风险。相反,有效期的缩短给管理证书的网站开发者或网站所有者带来了更多的工作量,会要求他们增加更换证书的频率,这也意味着成本的增加。如果企业忽视了证书的有效期,如果证书过期,频繁的证书过期警告可能会让网站访问者更容易绕过安全警告,还可能造成服务中断,给企业造成财产损失。因此,如何管理大规模的短寿命证书将是企业需要思考的问题。
