苹果此前向CA/B论坛(负责管理SSL/TLS证书的行业组织)提议,将所有证书有效期缩短至45天。
日前CA/B论坛服务器证书工作组投票通过SC-081v3提案,最终决定将SSL/TLS证书有效期从398天降至47天,SAN数据重用周期缩短至10天。
https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/9768xgUUfhQ?pli=1
SSL/TLS证书是一种用于网站的安全协议,通过加密网络连接确保数据传输的安全性。
此前,SSL/TLS证书最长有效期可达8年,经过多次调整,目前最长为398天,开发者和企业必须在这个时间内更新一次数字证书。
苹果给出的理由也非常简单,有效期缩短后,即便证书泄露也很快就会过期而不会被长时间利用。
此次投票中,证书颁发机构(CA)25票赞成、0票反对、5票弃权;证书消费者(包括苹果、谷歌、微软、Mozilla主要浏览器开发商)4票赞成、0票反对、0票弃权。
提案通过后,将进入知识产权审查阶段。
该措施将从2026年3月开始逐步实施,到2029年3月结束,具体时间表如下:
- 2026年3月14日前:证书有效期最长为398天
- 2027年3月14日前:证书有效期最长缩短至200天
- 2028年3月14日前:证书有效期最长缩短至100天
- 2028年3月15日后:证书有效期最长缩短至47天
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。
在 Reddit 论坛上有数百名系统管理员抱怨苹果的这项提议,因为缩短证书有效期后剩余的工作都要系统管理员承担,尤其是如果管理多个网站那么工作量将会显著提升 (假如无法实现自动化续签)。
