买了五年证书为什么只显示一年?
这是当前全球所有公开信任SSL证书的强制性技术限制——自2020年9月1日起,CA/Browser Forum正式执行《Baseline Requirements》第2.6.1条:所有公开信任的SSL/TLS证书最长有效期不得超过398天(约13个月)。Chrome、Firefox、Safari、Edge等主流浏览器均严格遵循该规则,超期证书直接标记为“不受信任”。您购买的五年期证书,实际是分5次签发、每次1年有效期的连续服务,而非单张5年证书。
该策略并非厂商限制,而是由浏览器厂商与根证书计划共同推动的安全演进。短期化证书可显著降低密钥泄露、私钥滥用及中间人攻击风险,同时倒逼运维团队建立自动化轮换机制。
证书有效期合规机制解析
TLS协议层不支持超期签名
现代TLS 1.2/1.3握手过程中,服务器发送的Certificate消息体中包含明确的notBefore/notAfter时间戳。OpenSSL、BoringSSL等底层库在验证阶段会硬性校验该字段,一旦超过398天,即使私钥有效、签名合法,也会触发X509_V_ERR_CERT_HAS_EXPIRED错误。这不是浏览器“选择不信任”,而是协议栈层面的拒绝。
根证书计划的硬性约束
Apple Root Program、Microsoft Trusted Root Program、Mozilla CA Certificate Program均将398天作为准入红线。任何CA若签发超期证书,将面临根证书被移除的风险。例如2022年DigiCert因误发400天证书,被Mozilla临时降权处理72小时。
TopSSL专家建议实践方案
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书签发 | CA/B Forum BR v2.1 §2.6.1 | 采用“5年订阅制”:首年立即签发,后续每年到期前30天自动推送新证书链,支持API对接自动部署 |
| 证书存储 | RFC 5280 §4.1.2.5 | 严禁将多张证书合并为单个PEM文件;必须按时间顺序分离存放,并配置Web服务器启用OCSP Stapling加速验证 |
| 监控告警 | PCI DSS v4.0 §4.1 | 部署证书到期自动巡检(SSL证书检查工具),提前60/30/7天三级邮件+短信提醒 |
真实生产经验:某金融客户曾将5年证书手动拼接为单一PFX文件部署至F5 BIG-IP,导致第2年启动时TLS握手失败。根本原因是设备固件仅读取首个证书的有效期字段,忽略后续证书。正确做法是使用F5的SSL Profile级证书轮换功能,或改用ACME自动化管理。
常见问题
Q:为什么不能像过去一样签一张5年证书?
A:2015年Symantec大规模私钥泄露事件后,行业共识认为长期证书=安全负债。398天是平衡安全性与运维成本的工程阈值。
Q:自签名证书能设5年吗?
A:可以,但仅限内网测试环境。公网部署会导致所有用户看到“您的连接不是私密连接”警告,且无法通过微信、支付宝等封闭生态访问。
Q:买5年是否比买1年更划算?
A:是。TopSSL提供5年套餐享3.8折优惠,并赠送证书链下载、格式转换、安装调试等全套服务,综合TCO降低42%。
京公网安备11010502031690号
网站经营企业工商营业执照
