前言
SSL证书对大多数站长来讲应该都不陌生,SSL证书是网站建立HTTPS链接的重要东西,只有部署了可信的SSL证书,才会在浏览器导航栏里提示可信的一把小锁。
2011年8-11年有效的SSL证书被由认证机构和浏览器软件供应商组成的认证机构/浏览器论坛CA/B将证书缩短到了5年,后来到了2015年,又由原来的5年缩短至3年,再到了2018年缩短为了2年。个人觉得8-11年包括5年确实比较长,毕竟很多情况下,域名大多数个人都是一年一续,不会一次性(企业一般会购买较长时间)。再到2019年,再次提出将SSL证书的有效期缩短至1年。虽然最后被否决,但是苹果、谷歌、微软、Mozilla和Opera等浏览器制造商的支持,苹果率先宣布不再信任超过398天的证书,也就是现在很多SSL厂商都签发一年零一个月的SSL证书,Google等厂商也紧接着也这样做了。
时间来到了2025 年 4 月 12 日,经过充分的讨论和投票,CA/B 论坛最终通过了关于 SSL/TLS 证书有效期缩短的提案。说是为了数据安全,降低对CRL和OCSP(两个都是在线验证SSL证书有效的方式,如果SSL证书被吊销,浏览器可以通过这两种方式获取到吊销信息),并确保在发生潜在安全事件时能够迅速响应。
将逐步缩短SSL证书的有效期至47天,具体规划:
2026年3月15日之前,允许SSL证书最大的有效期为398天(一年一个月)
2027年3月15日之前,允许SSL证书最大的有效期为200天(约7个月)
2029年3月15日之前,允许SSL证书最大的有效期为100天(约3个半月)
2029年3约15日之后,签发的证书有效期仅为47天(约一个半月)
一个小疑问:那么随着时间的缩短,SSL证书的价格也会降低吗?还是SSL厂商开始以每年订阅的方式卖证书?
我们该怎么办?
个人觉得,一年有效期真的省了很多事情,不用实时关注SSL证书的有效情况,不用一直担心SSL证书是否过期,一张通配符,基本上就满足了90%的需求。通配符到期,再买一张通配符,一年一换。
但是现在已经确定了时间会缩短,那么建议接下来可以采取以下措施,防止SSL证书过期。
如果你想尽量使用长日期的SSL证书,那么建议在对应的CA机构调整签发时长之前,签一张最长时间的SSL证书,这样可以暂时缓解SSL证书的到期。
但这毕竟不是长久之计。
建议还是使用SSL证书自动化申请部署工具,包括Certd、AllinSSL等等。这样可以实现证书自动化签发部署,也可以很好避免证书到期导致的风险。
不过很多付费SSL证书还是需要使用厂商定制的ACME客户端(毕竟他们签发的是要给钱的),注意检查,做好站点监控。
结尾
无论是因为何种原因,SSL证书时长缩短的结局已经是这样了,我们普通人也无法过多改变,做好自己站点的监控吧,谨防过期,说个趣事,刚刚访问dns.com官网,他们的证书都过期了,可能是dns.com被卖出去了,也暂时不会为它投资SSL证书了。
最后,不知道有没有懂行的朋友,小周想咨询一下目前中间CA的价格是怎样的,比较倾向Certum和Sectigo,签发量现阶段可能不大,主要是我们自己域名的签发,后期可能会商业化,如果有懂行的朋友可以留言或者加个微信:zwwandtx,然后探讨一下。
评论区