2018年SSL证书最长有效期将缩短为825天

新

2018年

SSL证书最长有效期将缩短为825天

CAB论坛采取渐进举措，将SSL/TLS证书的有效期从39个月（约1185天）缩短为27个月（为便于计算，称为825天）。对于2018年3月1日或之后购买的所有新证书，所有证书类型（DV、OV和EV）的证书最大有效期变为825天。

在批准将证书有效期缩短为825天的前三周，有提议建议将证书最长有效期缩短为398天（约13个月），不过此提议遭到广泛反对，反对398天有效期的主要原因是，这将对证书用户带来颇深影响。如果将用户的证书有效期变为398天，这将要求用户从当前的三年证书转变为一年证书，这种转变将迫使用户将他们的工作人员增加两倍，以完成证书的替换及管理工作；或考虑自动化证书安装，以保持对现有证书的正常运维。

1

为什么是825天？

最初SSL证书有效期不存在限制。2012年，CAB论坛的基本要求规定，SSL证书的最长有效期为60个月； 2015年基本要求又将有效期缩短到39个月。当前大部分证书的有效期为1年、2年或3年。而把有效期设为39个月，是为了允许将3年有效期的证书，在证书到期前3个月进行更新，通过重叠有效期，来避免出现证书过期而失效。825天，有效期为2年的SSL证书更新提供3个月的重叠期。证书颁发机构（CA）和用户也可签发或申请最长为825天的证书。825天比39或27个月更容易测量。这样更容易进行审计和浏览器要求执行。

2

为何改变证书有效期？

缩短有效期的目的是加快证书更换频率。更频繁的更换使以下类型的证书更快失效，降低对SSL/TLS生态系统的影响：1.减少使用旧密码标准的证书；例如从1024位转变为2048位RSA密钥长度或从SHA-1转变为SHA-2哈希算法。2.减少与CAB论坛基本要求或EV指南不一致的证书。3.最大程度减少由于欺诈请求和活动而发布的活跃证书。4.减少误用证书的数量。5.消除按照旧验证标准签发的证书。缩短证书有效期是一个比撤销更缓和的过程，证书吊销通常仅用于被误用或由于欺诈活动发行的不良证书。缩短有效期的问题在于：证书用户将面临有效期缩短后的证书管理压力。825天有效期是CA机构与浏览器为增强安全性而达成一致所作出的妥协，同时也为了用户适应后期的证书管理工作。

3

其他？

CA机构和浏览器应考虑对证书撤销进行评估和改进。也许通过部署OCSP Must-staple或全局撤销系统等新的撤销方式可立即从生态系统中消除不良证书。同时，新的825天有效期很可能让用户有充分的时间管理他们的证书，而不必对内部资源消耗造成不必要的负担。

（部分图片和资料来源：互联网 版权归原作者所有）

传播Entrust Datacard公司的最新技术、核心产品、以及独特的企业文化。分享行业动向，行业营销理念和实践经验。

长按二维码关注

ID:安全新世界