热门资讯

SSL/TLS证书的最大有效期现在为一年

资讯 作者:FreeSSL 2021-03-05 19:15:02 阅读:710

从9月1日开始,SSL / TLS证书的发布时间不得超过13个月(397天)。苹果公司在三月份在布拉迪斯拉发举行的CA /浏览器论坛春季面对面活动中首次宣布了这一更改。 

然后,上周,在CA / B论坛的夏季活动(虚拟举行)上,Google宣布了将苹果的变化与自己的根程序相匹配的意图。 

还有一个浏览器驱动的投票,旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这个问题。

我们意识到这里可能需要解压缩很多内容,因此为了提供一些清晰的信息,我们将在此博客文章中进行介绍。 

SSL / TLS证书寿命缩短的原因

从高级的理论角度来看,寿命较短的证书有两个主要好处:

第一个是技术组件–更长的使用寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子就是从SHA1到SHA2的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书,否则可能要花费数年才能替换所有旧证书。对于SHA1,花了三个时间。这会带来风险。 

另一个好处与身份有关–用于验证身份的信息应保持信任多长时间?验证之间的时间越长,风险越大。谷歌表示,在理想的世界范围内,验证大约每六个小时进行一次。 

在2015年之前,您可以获得长达五年的SSL / TLS证书。减少到三个,然后在2018年再次减少到两个。在2019年底,在CA / B论坛上提出了将其缩减为一年的选票-证书颁发机构对其进行了否决。

那么,为什么证书仍然减少到一年呢?

CA / Browser论坛是一个行业团体,其开会以就发行可信数字证书的一组基线要求进行投票。但是,它不是理事机构。即使CA表示担心并且不愿意再次降低最大有效性,但是Apple和Google完全有权根据自己的意愿更新其根程序的策略。 

我们了解到,我们刚刚向您抛出了很多行业术语,所以让我们快速退后一步,并确保上一段有意义。 

证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在CA方面,如果浏览器不信任公共证书有什么用?

这一切的管理方式是通过根程序。有四个主要的根程序需要注意:

  • 微软
  • 苹果
  • Mozilla
  • Google

顺便说一句,您会注意到这四个在桌面和移动设备上都落后于主要浏览器。为了使CA的证书受到根程序的信任,并通过扩展使用它们的浏览器和OS的信任,它必须遵守该根程序的准则。CA / B论坛是一个行业论坛,可以理想地帮助促进对根程序(以及生态系统本身)的更改。 

但是作为浏览器参与的根程序仍然可以单方面采取行动,并根据需要进行更改。当发生这种情况时,对互操作性的需求基本上表明,无论根程序策略具有最严格的标准,它都会成为新的事实上的基准要求。 

那就是我们到达这里的方式。现在,让我们谈谈这对您的网站意味着什么。

SSL / TLS有效期缩短对网站所有者意味着什么

首先,这将在2020年9月1日生效。因此,如果您使用的是9月1日之前签发的两年期证书,则该证书将一直有效,直到其原始到期日期为止。未来两年您将无法续约。 

换句话说,您必须在9月1日之前获得两年的证书。之后,它们将被降级为历史桌面回收站。 

从更大的角度来看,这可能是开始考虑自动执行更多证书生命周期管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织,也适用于使用公共信任的电子邮件证书的组织,以及使用私有CA或基于PKI的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任,这也有助于管理–您甚至可以使用该方法颁发具有更长有效期的证书。 

否则,根程序继续前进以缩短有效性的方式进行处理–在将来的某个时候,组织将不得不被迫自动执行许多此类操作。 

现在最好比将脚踩在火上探索一下。 

GlobalSign将如何处理一年期证书

为了简化(使过程尽可能简单),GlobalSign从8月31日开始订购SSL / TLS客户的一年期证书,其最长有效期为397天。这适用于新订单和续订,以最大程度地提高客户的利益。

您仍然需要在证书过期之前进行续订,但是由于我们不能再提供多达90天的有效期,因此建议您在证书到期后30天内进行续订。 

重新签发证书怎么办?

您可能会想,在此更改生效后,如果您重新发行一张两年期证书,将会发生什么情况。好吧,我们为您带来好消息!如果您重新颁发证书并失去有效性(我们必须将有效期限制为397天),则可以在以后(最好是原始证书过期之前少于397天)重新颁发证书,并从第一次重新颁发中恢复丢失的有效性!这与2018年从三年最大有效期降低到两年的方式相同。

需要注意的一项是,由于EV准则(EVGL)对重新颁发证书的要求,EV的重新发行过程有些不同。虽然您仍然可以重新颁发证书,但是它们将排队等待人工检查,我们需要确保所有验证都是最新的,然后才能发布它。



延伸阅读

  • 多域名SSL证书能保护多少个域名?

    多域名SSL证书(也称为SAN证书)可以保护多个域名,其保护域名的数量上限通常为250个。然而,具体数量可能因证书品牌和购买配置的不同而有所差异。以下是对多域名SSL证书保护域名数量的详细分析:一、一

  • Let’s Encrypt将在2025年6月停用证书到期邮件通知

    免费数字证书颁发机构 Let’s Encrypt 日前宣布重大决定:自 2025 年 6 月 4 日起不再通知用户证书即将到期并需要续订,也就是后续不再发送任何电子邮件通知。对某些托管服务商和用户来说

  • Nginx环境安装SSL数字证书教程

    Nginx安装SSL证书需要,FullSSL.crt和SSL.key文件1.将证书文件放到网站根目录将FullSSL.crt和SSL.key文件上传到网站根目录,新建一个文件夹放进去2.首先我们用编辑

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 SSLHUB 立场
本文由 FreeSSL发表,转载此文章须经作者同意,并请附上出处( SSLHUB )及本页链接。
原文链接 https://www.sslhub.cn/freessl/news/592.html
SSL TLS 证书 GlobalSign
#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
猜你喜欢
赞助链接

电话:188-8877-1003

邮箱:Sales@knowsafe.com

地址:四川省成都市高新南区天府大道北段1700号

时间:周一到周日: 早9点 – 晚12点

数字证书产品
单域名证书
多域名证书
代码签名
通配符
数字证书品牌
TrustAsia
Digicert
GeoTrust
GlobalSign
CFCA
24/7帮助中心
技术支持
常见问题
关于我们
关于我们
联系我们
iTrust