CA/Browser论坛近日投票决定,在未来4年内大幅缩短SSL/TLS证书的有效期,到2029年证书有效期将仅为47天。来源。
CA/Browser论坛是一个由证书颁发机构(CAs)和软件供应商(包括浏览器开发商)组成的组织,致力于制定和维护互联网通信中使用的数字证书的安全标准。其成员包括DigiCert和GlobalSign等主要证书颁发机构,以及Google、Apple、Mozilla和Microsoft等浏览器供应商。
今年早些时候,Apple提出了一项动议,建议逐步缩短证书的有效期,从目前的398天缩短到2029年3月的47天。该提案得到了Sectigo、Google Chrome团队和Mozilla的支持。
缩短证书生命周期的目标是减少因过期证书数据、弃用的加密算法和长时间暴露的凭证带来的风险。此举还鼓励公司和开发人员利用自动化技术来更新和轮换TLS证书,从而降低网站运行过期证书的可能性。
目前,证书的有效期和域控制验证(DCV)为398天,但大多数证书颁发机构认为在当前的安全环境下这个时间过长。CA/Browser论坛以25票赞成、0票反对通过了缩短证书有效期的决议,具体时间表如下:
2026年3月15日起,证书有效期和DCV将缩短至200天;
2027年3月15日起,证书有效期和DCV将缩短至100天;
2029年3月15日起,证书有效期将缩短至47天,DCV缩短至10天。