热门资讯

SSL/TLS证书的最大有效期现在为一年

资讯 作者:FreeSSL 2021-03-05 19:15:02 阅读:651

从9月1日开始,SSL / TLS证书的发布时间不得超过13个月(397天)。苹果公司在三月份在布拉迪斯拉发举行的CA /浏览器论坛春季面对面活动中首次宣布了这一更改。 

然后,上周,在CA / B论坛的夏季活动(虚拟举行)上,Google宣布了将苹果的变化与自己的根程序相匹配的意图。 

还有一个浏览器驱动的投票,旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这个问题。

我们意识到这里可能需要解压缩很多内容,因此为了提供一些清晰的信息,我们将在此博客文章中进行介绍。 

SSL / TLS证书寿命缩短的原因

从高级的理论角度来看,寿命较短的证书有两个主要好处:

第一个是技术组件–更长的使用寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子就是从SHA1到SHA2的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书,否则可能要花费数年才能替换所有旧证书。对于SHA1,花了三个时间。这会带来风险。 

另一个好处与身份有关–用于验证身份的信息应保持信任多长时间?验证之间的时间越长,风险越大。谷歌表示,在理想的世界范围内,验证大约每六个小时进行一次。 

在2015年之前,您可以获得长达五年的SSL / TLS证书。减少到三个,然后在2018年再次减少到两个。在2019年底,在CA / B论坛上提出了将其缩减为一年的选票-证书颁发机构对其进行了否决。

那么,为什么证书仍然减少到一年呢?

CA / Browser论坛是一个行业团体,其开会以就发行可信数字证书的一组基线要求进行投票。但是,它不是理事机构。即使CA表示担心并且不愿意再次降低最大有效性,但是Apple和Google完全有权根据自己的意愿更新其根程序的策略。 

我们了解到,我们刚刚向您抛出了很多行业术语,所以让我们快速退后一步,并确保上一段有意义。 

证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在CA方面,如果浏览器不信任公共证书有什么用?

这一切的管理方式是通过根程序。有四个主要的根程序需要注意:

  • 微软
  • 苹果
  • Mozilla
  • Google

顺便说一句,您会注意到这四个在桌面和移动设备上都落后于主要浏览器。为了使CA的证书受到根程序的信任,并通过扩展使用它们的浏览器和OS的信任,它必须遵守该根程序的准则。CA / B论坛是一个行业论坛,可以理想地帮助促进对根程序(以及生态系统本身)的更改。 

但是作为浏览器参与的根程序仍然可以单方面采取行动,并根据需要进行更改。当发生这种情况时,对互操作性的需求基本上表明,无论根程序策略具有最严格的标准,它都会成为新的事实上的基准要求。 

那就是我们到达这里的方式。现在,让我们谈谈这对您的网站意味着什么。

SSL / TLS有效期缩短对网站所有者意味着什么

首先,这将在2020年9月1日生效。因此,如果您使用的是9月1日之前签发的两年期证书,则该证书将一直有效,直到其原始到期日期为止。未来两年您将无法续约。 

换句话说,您必须在9月1日之前获得两年的证书。之后,它们将被降级为历史桌面回收站。 

从更大的角度来看,这可能是开始考虑自动执行更多证书生命周期管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织,也适用于使用公共信任的电子邮件证书的组织,以及使用私有CA或基于PKI的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任,这也有助于管理–您甚至可以使用该方法颁发具有更长有效期的证书。 

否则,根程序继续前进以缩短有效性的方式进行处理–在将来的某个时候,组织将不得不被迫自动执行许多此类操作。 

现在最好比将脚踩在火上探索一下。 

GlobalSign将如何处理一年期证书

为了简化(使过程尽可能简单),GlobalSign从8月31日开始订购SSL / TLS客户的一年期证书,其最长有效期为397天。这适用于新订单和续订,以最大程度地提高客户的利益。

您仍然需要在证书过期之前进行续订,但是由于我们不能再提供多达90天的有效期,因此建议您在证书到期后30天内进行续订。 

重新签发证书怎么办?

您可能会想,在此更改生效后,如果您重新发行一张两年期证书,将会发生什么情况。好吧,我们为您带来好消息!如果您重新颁发证书并失去有效性(我们必须将有效期限制为397天),则可以在以后(最好是原始证书过期之前少于397天)重新颁发证书,并从第一次重新颁发中恢复丢失的有效性!这与2018年从三年最大有效期降低到两年的方式相同。

需要注意的一项是,由于EV准则(EVGL)对重新颁发证书的要求,EV的重新发行过程有些不同。虽然您仍然可以重新颁发证书,但是它们将排队等待人工检查,我们需要确保所有验证都是最新的,然后才能发布它。



延伸阅读

  • Apple提议将SSL证书有效期缩短为45天

    SSL/TLS证书的有效期一直在缩短。2017年,证书的最大有效期从1185天(约39个月)缩短到825天(约27个月),当时人们认为这是SSL证书发展中的一大转变。而在接下来的几年里,证书的有效期还

  • Go语言的数据加密和安全传输

    在Go语言中提供数据加密和安全传输,有几种主要的方法:使用SSL/TLS实现安全传输、使用HTTPS协议、使用HTTP/2进行安全传输、使用加密算法例如AES和RSA来加密信息。其中,SSL/TLS(

  • GoGetSSL产品介绍及简介

    GoGetSSL是一个平台,您可以在该平台上以极低的价格从多个不同的证书颁发机构购买各种SSL证书。 在本文中,我将帮助您了解什么是SSL证书以及如何为您的企业选择正确的GoGetSSL证书。1.对证

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 SSLHUB 立场
本文由 FreeSSL发表,转载此文章须经作者同意,并请附上出处( SSLHUB )及本页链接。
原文链接 https://www.sslhub.cn/freessl/news/592.html
SSL TLS 证书 GlobalSign
#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
猜你喜欢
赞助链接

电话:188-8877-1003

邮箱:Sales@knowsafe.com

地址:四川省成都市高新南区天府大道北段1700号

时间:周一到周日: 早9点 – 晚12点

数字证书产品
单域名证书
多域名证书
代码签名
通配符
数字证书品牌
TrustAsia
Digicert
GeoTrust
GlobalSign
CFCA
24/7帮助中心
技术支持
常见问题
关于我们
关于我们
联系我们
iTrust