互联网的信任基石正在悄然发生变化。你可能已经注意到,网站地址栏上的小锁头越来越常见,这代表着网站使用了 HTTPS 加密,而 HTTPS 的实现离不开 SSL 证书。就在今天,一个重要的行业动态可能会对所有网站运营者产生深远影响:CA/浏览器论坛(CA/Browser Forum,简称 CABF)通过了一项名为 SC-081 的提案,计划逐步将公开信任的 SSL 证书的最长有效期缩短至 47 天!那么,这项改变意味着什么?又将如何影响我们呢?让我们一起深入探讨。

什么是 SSL 证书及其重要性

在深入探讨有效期缩短之前,我们先简单了解一下 SSL 证书的重要性。你可以将它理解为网站的“数字身份证”,它主要有两个作用:

  • 加密通信: 证书能够加密你的浏览器和网站服务器之间的数据传输,防止第三方窃取或篡改信息,保护用户的隐私和数据安全。
  • 身份验证: 证书可以验证网站的身份,确保你访问的是真正的网站,而不是钓鱼网站。

拥有 SSL 证书的网站会使用 HTTPS 协议,地址栏会显示一个小锁头,这已经成为判断网站是否安全可信的重要标志。

证书有效期缩短的历史进程

事实上,这并不是证书有效期第一次被缩短。回顾历史,你会发现这是一个持续演进的过程 :

  • 早期: 曾经 TLS 证书的有效期可以长达数年。
  • 2012 年: 最长有效期被限制为 60 个月。
  • 2015 年: 最长有效期缩短至 39 个月。
  • 2018 年: 最长有效期进一步缩短至 825 天(约两年)。
  • 2020 年: 在苹果公司的推动下,最长有效期被限制为当前的 398 天(约一年)。

而现在,CABF 通过的 SC-081 提案,将再次大幅缩短这个期限。

深入解读 SC-081 提案

SC-081 提案的全称是“引入减少有效期和数据重用期限计划”。这项提案不仅涉及证书有效期的缩短,还包括域名验证数据重用期限的限制 。

核心内容:

  • 证书最长有效期逐步缩短至 47 天:

    这将通过以下几个阶段实现 :

    • 2026 年 3 月 15 日起: 最长有效期应为 200 天。
    • 2028 年 3 月 15 日起: 最长有效期应为 100 天。
    • 2029 年 3 月 15 日起: 最长有效期最终将降至 47 天

  • 域名验证数据重用期限大幅缩短:

    • 非 SAN 验证数据重用: 最终从 825 天减少到 398 天。
    • SAN 验证数据重用: 到 2028 年 3 月,最终从 398 天减少到仅 10 天
时间节点非 SAN 验证数据重用SAN 验证数据重用证书最长有效期
2026/03/15 之前825 天398 天398 天
2026/03/15 ~ 2027/03/15398 天200 天200 天
2027/03/15 ~ 2029/03/15398 天100 天100 天
2029/03/15 之后398 天10 天47天

这里补充解释一下什么是非 SAN 验证数据重用SAN 验证数据重用

  • 非 SAN 验证数据重用:SSL证书从验证类型上来区分的话分为3种,DV,OV和EV。DV就是域名证书,只要验证了域名的所有权就能签发;OV和EV分别称为企业型和增强型证书,两者出了要验证域名所有权外,还需要对企业的真实性进行审核,EV比OV更严格。那么这里所说的非SAN验证数据一般就是企业信息的验证。也就是说,未来申请OV和EV证书,需要每398天对组织重新进行审核验证。
  • SAN 验证数据重用:SAN就时指SSL证书中包含的域名或者IP。目前像OV/EV证书我们验证一次域名后,该验证有效期持续398天。在改时间内,我们可以随时签发证书。未来将缩短到10天,超过10天就需要重新验证域名所有权。

提案已获通过:

值得注意的是,这项提案已经获得了 CABF 成员的广泛支持并成功通过 。包括 Google、Apple、Microsoft 等主要的浏览器厂商,以及 Sectigo、DigiCert 等证书颁发机构都投了赞成票 。

image-20250413211144568

为什么要缩短证书有效期?

缩短证书有效期并非无的放矢,其背后有着多重安全考量和行业发展趋势 :

  • 增强安全性: 有效期越短,被盗用或错误颁发的证书造成的潜在损害就越小。

    ​ 2011年,黑客入侵 DigiNotar 并错误颁发了数百个伪造证书,其中包括针对 Google 等高价值域名的证书。由于这些证书在被发现和吊销之前拥有较长的潜在有效期,攻击者得以利用它们在一段时间内进行中间人攻击,监视伊朗用户的互联网通信。如果当时证书的有效期更短,攻击者可利用的时间窗口就会大大缩小,从而减少了受影响的用户数量和泄露的信息量。

    ​ 去年,Entrust 错误颁发了超过 26,000 个 EV SSL 证书,但未能及时吊销。如果这些证书的有效期较长,潜在的滥用风险也会相应增加。浏览器最终不再信任该 CA 也反映了长期有效期的风险。

  • 提高可靠性: 确保证书中包含的域名所有权和组织信息能够及时更新,反映最新的真实状态。

    ​ SSL 证书通常包含关于域名所有者以及(对于 OV 和 EV 证书)组织的信息。在较长的有效期内,域名所有权可能会发生变更,组织结构、名称、地址等信息也可能发生变化。如果证书的有效期过长,证书中包含的信息可能不再准确,这会降低证书的可靠性和信任度。可以想象,如果一个域名被恶意收购,而该域名仍然持有一个有效期很长的 OV/EV 证书,那么攻击者可能会利用该证书来冒充以前的合法组织,进行网络钓鱼或其他欺诈活动。缩短有效期并要求更频繁的验证可以降低这种风险。

  • 改进验证实践: 更频繁的验证有助于减少错误颁发证书的风险,并促使 CA 采取更严格的验证措施。

    ​ CA 在颁发证书之前需要验证申请者的身份和对域名的控制权。如果证书的有效期很长,CA 可能只需要进行一次验证,而在整个有效期内不再进行额外的检查。缩短有效期意味着 CA 需要更频繁地进行验证。这种更频繁的验证可以促使 CA 投入更多的资源和精力来改进其验证流程,从而降低错误颁发证书的风险。 ​​ 2018年的 Trustico 吊销 Symantec 证书事件中,Trustico 作为经销商处理大量 Symantec 证书,其私钥管理不当和大规模吊销行为暴露了证书管理链条中潜在的风险。更频繁的证书更新和验证可能有助于更早地发现和解决此类问题。

  • 促进自动化: 极短的有效期使得手动管理证书变得几乎不可能,这将倒逼网站所有者采用自动化证书生命周期管理(CLM)工具,例如 ACME 协议。

    ​当证书有效期缩短到 47 天时,对于拥有大量证书的网站和组织来说,手动跟踪和续订证书将变得非常繁琐且容易出错。自动化证书管理工具(如 ACME)可以自动完成证书的申请、颁发、部署和续订过程,极大地提高了效率并降低了因证书过期导致服务中断的风险。推动自动化的普及,不仅能够应对更短有效期的挑战,还能提升整个行业的证书管理水平。 ​​在过去,Equifax、Azure、Google Voice、Microsoft Teams、Apple 都出现过因证书过期导致服务中断的案例。这表明,即使是大型组织也可能在证书管理方面出现疏忽。如果这些组织能够更早地采用成熟的自动化证书管理方案,这些因过期导致的服务中断事件很可能可以避免。

  • 独立于吊销服务的增强安全性: 即使证书没有被及时吊销,其较短的有效期也能限制其被滥用的时间。

    ​现有的证书吊销机制(如 CRL 和 OCSP)并非完美,会存在延迟或覆盖不全的问题。如果一个被盗用或错误颁发的证书没有被及时吊销,它仍然可以在有效期内被滥用。缩短证书有效期提供了一种“内置”的安全机制:即使吊销失败或延迟,恶意证书的有效时间也是有限的,最终会因过期而失效,从而限制了其被滥用的时间窗口。

  • 促进密码敏捷性: 更容易推动使用新的、更安全的加密算法。

    ​密码学在不断发展,新的、更安全的加密算法不断被开发出来,而旧的算法可能会被发现存在安全漏洞。对于有效期较长的证书,要推动整个行业更新到新的加密算法可能需要很长时间。缩短证书有效期意味着证书需要更频繁地更换,这为在更换过程中采用新的、更安全的加密算法提供了机会,从而提高了整个 Web PKI 的安全性。

对网站所有者和组织的影响

证书有效期缩短至 47 天,对网站所有者和组织来说,最直接的影响就是需要更加重视证书的管理 :

  • 自动化是关键: 手动续订证书将变得非常困难甚至不可能。你需要部署自动化工具来管理证书的申请、颁发和续订。

  • 续订频率增加: 你需要更频繁地更新你的证书,以确保网站的正常运行。

  • 可能增加成本: 虽然自动化可以提高效率,但某些自动化解决方案或更频繁的证书操作可能会带来一定的成本增加。

  • 及时续订至关重要: 一旦证书过期,网站将无法通过 HTTPS 访问,这会严重影响用户体验和网站的信誉。

  • 域名验证更加频繁: SAN 验证数据重用期限的缩短意味着对于包含多个域名的证书,你需要更频繁地进行域名控制验证。

如何应对?给网站所有者的建议

面对即将到来的变革,网站所有者应该积极准备,以下是一些建议 :

  • 立即开始拥抱自动化: 如果你还没有使用自动化证书管理工具,现在是时候开始调研和部署了。ACME 协议是一个被广泛采用的开放标准,可以帮助你实现证书的自动续订。
  • 选择合适的证书管理方案: 根据你的网站规模和技术架构,选择合适的证书管理解决方案,例如使用云服务提供商的集成方案或第三方的证书生命周期管理平台。
  • 关注 DNS 验证: DNS 验证是一种常用的自动化验证方式,你需要确保你的 DNS 管理配置正确,以便顺利进行自动化验证。
  • 与你的证书颁发机构合作: 选择能够提供良好自动化支持和服务的 CA。
  • 提前规划和测试: 在新的有效期限制生效之前,充分测试你的自动化流程,确保一切正常运行。
  • 保持关注行业动态: 及时了解 CABF 的最新进展和要求,以便做出相应的调整。

总结与展望

证书有效期缩短至 47 天是 Web 安全领域的一个重要里程碑,它反映了行业对安全性和敏捷性的持续追求。虽然短期内可能会给网站运营带来一些挑战,但从长远来看,这将有助于构建一个更加安全、可靠的互联网环境。自动化将成为应对这一变化的关键,未能及时采用自动化的网站可能会面临运营上的巨大压力。让我们积极拥抱变化,为更安全的网络世界共同努力!