蘋果在2020年2月宣布,2020年9月1日起不再信任任何有效期超過 398 天的新簽發的SSL證書。近年來,谷歌、蘋果等CA/B論壇成員一直在考慮進一步縮短受信任SSL證書的最長有效期,從最初的5年到3年,到2年,現在是最長有效期為1年。
蘋果官方提供的理由為:
我們一直在不斷努力為用戶提高網絡安全性,為此 Apple 將縮短所允許的 TLS 服務器證書最長使用期限。
設置證書有效期對保護證書安全性是非常重要的!基於PKI技術的數字證書,結合公鑰加密算法、對稱加密算法、散列算法等密碼技術,用於實現認證、加密、簽名等安全功能。隨着全球計算力的提升,部分老舊的算法(如1024位RSA算法,及SHA-1等簽名算法)已經被證明存在安全風險。為SSL證書設置有效期,便於用戶及時更新證書,替換使用更為先進的加密算法,大大降低安全風險,提升整個生態系統的安全性。
有效期不得超過 398 天。也就是再也見不到2年的SSL證書。
Let's Encrypt提供免費的域名證書申請,支持多域名和泛域名,目前證書有效期為90天。通過來此加密網站可以自動申請續期,可以免費永久的使用網站SSL證書。
歷史進程
3年有效期的SSL證書
在2018年3月1日之前,域名型DV證書和企業型OV證書可以購買1-3年的有效期,增強型EV證書可購買1-2年。
2年有效期的SSL證書
根據CAB論壇第193號投票結果,從2018年3月開始,所有CA頒發的證書有效期最長不能超過825天——即兩年有效期,所以從2018年3月1日起所有證書購買均只能買一年或者兩年。
1年有效期的SSL證書
2019年9月份,“縮短SSL證書最長有效期至1年”提議在CA/B論壇沒有投票通過。