近期,苹果公司在CA/B论坛(一个负责监管SSL/TLS证书行业的权威组织)中提出了一项重要建议,旨在进一步缩短SSL/TLS证书的有效期限。SSL/TLS证书作为保障网站数据传输安全的关键机制,其有效期的调整引起了广泛关注。
经过CA/B论坛服务器证书工作组的深入讨论与投票,最终通过了SC-081v3提案。该提案决定将SSL/TLS证书的有效期从原先的398天大幅缩短至47天,同时,SAN(主题备用名称)数据重用周期也被限定在10天之内。这一变革标志着网络安全策略的一次重大升级。
回顾历史,SSL/TLS证书的有效期曾一度长达8年。然而,随着时间的推移,为了增强网络安全性,其有效期经历了多次调整,直至最近的398天。即便如此,苹果公司仍认为现有期限过长,一旦证书遭泄露,攻击者可能会利用较长时间进行恶意活动。
苹果提出的理由颇为直白:缩短证书有效期意味着即便证书不慎泄露,其可利用的时间窗口也将大大缩短,从而降低潜在的安全风险。在投票过程中,证书颁发机构(CA)展现出了一边倒的支持态度,25票赞成,无反对票,仅有5票弃权。同时,包括苹果、谷歌、微软、Mozilla等主要浏览器开发商在内的证书消费者也表达了支持,4票赞成,无反对与弃权票。
随着提案的顺利通过,接下来将进入知识产权审查阶段。为确保平稳过渡,该措施的实施将分阶段进行,从2026年3月起逐步推进,直至2029年3月全面完成。具体实施时间表如下:在2026年3月14日之前,证书有效期仍可维持最长398天;至2027年3月14日,最长有效期缩短至200天;再到2028年3月14日,进一步缩短至100天;最终,从2028年3月15日起,证书有效期将固定为最长47天。
然而,这一变革并未获得所有人的欢迎。在CA/B论坛上,不少系统管理员表达了他们的担忧与不满,认为频繁更新证书将给他们的日常工作带来额外的负担与挑战。
尽管如此,从网络安全的整体角度来看,缩短SSL/TLS证书的有效期无疑是一项旨在提升网络环境安全性的积极举措。随着实施时间的临近,各行业将需要积极适应这一变化,以确保网络服务的持续安全与稳定。
