行业新闻与博客

证书一年期间的功效

一年期 TLS 证书的三,二,一提升

苹果公司本周在斯洛伐克布拉迪斯拉发的 CA / Browser(CA / B)论坛上宣布,从 9月1日开始,新发行的公共信任 TLS 证书的有效期不超过 398 天。这是 CA / B 论坛社区致力于减少证书寿命和提高安全性的悠久历史,同时在过渡到较短有效性证书的过程中平衡了企业所有者的需求。



Google 在 2019年8月推出了 CA / B Forum Ballot SC22,以将 TLS 证书的有效期缩短至一年。CA 与其客户一起审查了该提议,并从用户那里获得了数千条评论,由于 IT 团队需要进行更多工作来处理更短的有效期,因此大多数评论都表示反对。该论坛的投票失败,这意味着证书的最长寿命保持在两年。



一次提供的证书最长有效期为三年。几年前,他们减少到两年。快进本周的 Apple 公告,该公告最终完成了 SC22 投票所不能完成的工作:将证书有效期缩短至一年。



苹果为何单方面决定强制缩短证书寿命?他们的发言人说这是为了“保护用户”。从先前的 CA / B 论坛讨论中我们知道,在发生重大安全事件的情况下,更长的证书生存期在替换证书方面面临挑战。苹果显然希望避免生态系统无法快速响应与证书相关的主要威胁。短期证书可以提高安全性,因为如果 TLS 证书受到威胁,它们可以减少暴露的窗口。它们还通过确保每年对身份(例如公司名称,地址和活动域)进行更新来帮助纠正组织内部的正常运营流失。与任何改进一样,应在缩短寿命和证书用户实施这些更改所需的困难之间取得平衡。



苹果现在已经发布了有关该主题的官方知识库文章,可以在这里找到。这对网站证书用户意味着什么?为了使 Safari 能够信任您的网站,您将无法再发布 2020年8月30日之后有效期超过 398 天的公共信任 TLS 证书。无论 2020年9月1日之前发布的任何证书仍然有效有效期(最多 825 天)。仍然可以识别不受公众信任的证书,最长有效期为 825 天。



DigiCert 同意,较短的生命周期有助于增强生态系统的安全性,并拥有必要的工具来帮助我们的客户自动化证书生命周期流程。我们支持短期证书,对于具有高级自动化功能的客户而言,其生命周期只有几个小时。此外,我们的 CertCentral 平台还具有计划和自动替换 EV,OV 和 DV 证书的功能。使用 CertCentral 管理员可以利用连续发现,续订通知,彻底的 API 集成和文档以及对业务流程层的支持的优势。CertCentral 还允许进行多年购买,以简化计划并提供 24/7 全球支持,从而提供业内最佳体验。



随着证书有效期的持续减少,自动化将是组织管理较短生存期的能力所必需的。DigiCert 准备使用业界最先进,最可靠的工具,以帮助我们的客户采取必要的步骤来进一步利用自动化。



本文由机器译制

需要帮助吗?联系我们的支持团队 在线客服