{{item}}
{{item.title}}
{{items.productName}}
¥{{items.priceOne.price}}/年
{{item.title}}
上月凭证产业论坛CA/Browser Forum(CA/B论坛)做出决议,所有SSL/TLS凭证最长效期将由现行398天缩短9成,到2029年剩47天,且每月需更新一次。
CA/B论坛众家会员厂商于4月11日完成投票,通过苹果提案的Ballot SC-081v3。 4家凭证使用者端(浏览器业者)包括苹果、Google、Mozilla、微软皆赞成。 29家凭证颁发业者24票赞成、5票弃权,无人反对。
现行所有SSL/TLS凭证最长效期为398天,2020年苹果推动且获得Google及Mozilla支持,由三大浏览器业者推动最长效期由825天减为现行时效,主因是长效期的凭证可能落入骇客手中,助长恶意程式散布。
在最新决议下,CA/B论坛未来将分阶段缩短凭证效期。
可以理解为2026年3月15日起,SSL/TLS凭证最长效期会缩短到200天,更新期将改为6个月更新一次。而网域控制验证(Domain Control Validation,DCV)重覆使用期限也减到200天。 2027年3月15日起,凭证最长效期会再短100天,3个月更新一次,DCV重覆使用期限同步减为100天。 4年后,即2029年3月15日,最长SSL/TLS凭证效期就会减至47天,每个月更新一次,DCV重覆使用期限将只剩10天。SSL/TLS 证书是一种用于网站的安全协议,苹果此前向CA/B 论坛 (负责管理SSL/TLS证书的行业组织) 提议将所有证书有效期缩短至 45 天。
经过一系列讨论,4月13日,CA/B论坛服务器证书工作组投票通过 SC-081v3 提案,最终决定逐步缩短公开信任 TLS 证书有效期及数据重用周期。提案规定证书有效期从398天降至47天(比 45 天略有延长),SAN 数据重用周期缩短至10天。提案满足CA /B论坛章程要求,进入知识产权审查阶段。
附投票结果:
- CA 赞成票 25: Amazon, Asseco Data Systems SA (Certum), Buypass AS, Certigna (DHIMYOTIS), Certinomis, DigiCert, Disig, D-TRUST, eMudhra, Fastly, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, NAVER Cloud Trust Services, OISTE Foundation, Sectigo, SHECA, SSL.com, SwissSign, Telia Company, TrustAsia, VikingCloud, Visa
- CA 弃权票 5:Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA
SSL证书在网站用户之间建立信任。企业在 Web 服务器上安装SSL证书,以创建受 SSL / TLS 保护的网站。受SSL/TLS保护的网页的特征如下:
要求更频繁地验证用于颁发证书的信息,并降低证书的最大有效期,可以减少不当验证的风险、不当验证持续的范围以及误发证书对生态系统及其依赖方的负面影响的机会。
网站站长都明白,ssl证书一过期,流量立减,收入也跟着遭殃。所以,证书有效性直接关乎他们的收入。当然希望有效期越长越好,省去频繁更换的麻烦和配置出错的风险。其实,CA也不乐意缩短有效期,毕竟他们靠卖证书赚钱,自然希望一次多收点。而且,发证书门槛不高,自己都能签,所以CA之间的竞争一直很激烈。
但是,CA在浏览器面前是弱势的,浏览器的信任才是他们的命根子。一旦浏览器不认,CA证书就跟自签的没两样了。
浏览器巨头想缩短有效期,说白了是为了用户上网更安全。时间越长,密钥泄露被破解的风险就越大。缩短有效期,CA就得更勤快地换密钥,网站身份也得更频繁地验证。
这看似是浏览器为用户安全着想,但代价却由CA和站长承担。有效期从一年多变成不到两个月,站长就得更频繁地操心证书,以免过期掉流量。浏览器为了用户体验,把麻烦丢给了CASSL证书是什么?CA机构是什么?和站长。看来以后本来CA竞争就异常激烈,以后站长恐怕有可能更得频繁接到推销电话了。
尽快选购申请,价格随时改变!
京公网安备11010502031690号
网站经营企业工商营业执照