浏览器四大金刚一致同意将SSL/TLS证书最长有效期缩短至47天

此前苹果向CA/浏览器论坛(负责管理SSL/TLS证书的行业组织)提议将所有证书有效期缩短至45天，苹果给出的理由也非常简单，有效期缩短后即便证书泄露也很快就会过期而不会被长时间利用。rl8品论天涯网

rl8品论天涯网

以前SSL/TLS证书最长有效期可以长达8年，不过经过几次调整后当前证书有效期最长为398天约13个月，也就是说无论如何开发者和企业都必须在13个月左右更新一次数字证书。rl8品论天涯网

而苹果提交的SC-081v3草案目前已经获得行业组织的同意，简单来说最终SSL/TLS证书有效期将被缩短至47天，整个过程将循序渐进的推广，即逐步缩短有效期直到达成缩短至47天。rl8品论天涯网

此次投票获得行业组织的多数同意，下面是投票结果：rl8品论天涯网

SSL/TLS行业组织：赞成票25、反对票0、弃权票5rl8品论天涯网

证书消费者：赞成票4、反对票0、弃权票0rl8品论天涯网

这里的证书消费者指的就是浏览器四大金刚：苹果、谷歌、谋智基金会和微软，也就是这些主要浏览器开发商一致同意缩短证书有效期，加之行业组织也同意缩短所以最终苹果提交的提案算是通过了，虽然时间上略微有些变化。rl8品论天涯网

下面是分阶段时间表：rl8品论天涯网

2026年03月14日前：证书有效期最长为398天rl8品论天涯网

2027年03月14日前：证书有效期最长缩短至200天rl8品论天涯网

2028年03月14日前：证书有效期最长缩短至100天rl8品论天涯网

2028年03月15日后：证书有效期最长缩短至47天rl8品论天涯网

对企业来说存在的挑战：rl8品论天涯网

尽管SSL/TLS证书已经有很多便捷的工具可以实现自动化续签，但并非每个网站和企业都可以轻松部署自动化续签流程，尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。rl8品论天涯网

在Reddit论坛上有数百名系统管理员抱怨苹果的这项提议，因为缩短证书有效期后剩余的工作都要系统管理员承担，尤其是如果管理多个网站那么工作量将会显著提升(假如无法实现自动化续签)。rl8品论天涯网