TLS 证书有效期将缩短至 47 天
根据 Apple 的提案,TLS 证书(也称为 SSL 证书)证书的最长有效期将逐步缩短至 47 天。随着此改变,证书自动化部署将会变得越来越重要,人工更新证书最终将被淘汰。
由国际性电子认证机构(CA)与操作系统、浏览器厂商组成的CA/B论坛(CA / Browser Forum)投票通过由苹果公司(Apple)最早提出的 SC-081v3 号提案。
提案指出,缩短证书有效期可以降低因信息陈旧带来的安全风险,并弥补证书撤销机制的不足。更短的有效期迫使组织采用自动化证书管理流程,提升整体管理水平和安全性,同时减少人工错误并更快响应潜在威胁。
有效期缩短计划
TLS 服务器证书的最长有效期将分阶段逐步缩短,以确保现有服务能有时间适应改变。现在的状态及未来的计划如下:
| 日期 | 证书最长有效期 |
|---|---|
| 2020-09-01 后 | 398 天 |
| 2026-03-15 后 | 200 天 |
| 2027-03-15 后 | 100 天 |
| 2029-03-15 后 | 47 天 |
历史上的有效期缩短
2011 年,CA/B 论坛将证书有效期从最初的 8-10 年缩短至 5 年;2015 年进一步缩短为 3 年;2018 年再次调整为 2 年。尽管 2019 年 CA/B 论坛投票否决了将有效期缩短至一年的提议,但这一措施获得了苹果、谷歌、微软、Mozilla 和 Opera 等主要浏览器厂商的支持。随后,2020 年 2 月,苹果宣布拒绝接受有效期超过 398 天(约一年)的新证书,并在同年 9 月 1 日后严格执行此政策。此后,Google 和 Mozilla 也相继效仿,进一步推动了证书有效期缩短的趋势。
自动化续订的重要性
自动化续订对于缓解证书有效期缩短带来的问题至关重要。随着证书更新频率的增加,意外过期的风险也随之上升。自动化策略通过简化证书生命周期管理,覆盖从申请、颁发到续订和吊销的每个阶段,减少了人工干预的需求。这种方法不仅提高了效率,还增强了可靠性,尤其在管理大量 SSL 证书时,能够有效防止证书过期,确保安全性和业务连续性。
不应继续人工预订
证书有效期开始缩短后,手动管理证书流程本身就不切实际,而证书有效期缩短至最长 47 天将加剧现有问题。简而言之,IT 部门根本无法应对。随着 TLS 证书数量不断增加,有效管理这些证书将变得越来越困难。假设未来使用最长有效期 47 天的证书,一年将至少要续订 8 次,如果服务器证书大规模部署,使用手动续费,每次操作都可能需要几十分钟的时间。随着需要续订次数增加,需要的人力成本将成倍增加,发生人为错误的风险也将提高。在有效期缩短后,自动化部署每年可能只会多消耗几十 MB 流量,而人工部署每年很可能需要总共几个小时的时间。
做好准备
仍在手动续费并管理证书的用户应当尽早考虑自动化部署,现在就进行自动化部署可以立刻享受到其带来的优势以及管理成本的降低。提前做好测试部署也可以有更充足的时间应对意外。如果认为修改不支持自动续订的遗留系统需要更长时间,您也可以考虑在缩短有效期的截止时间前 1 个月再次购买最后一张 1 年有效期的证书。
目前,有很多优秀的证书自动化管理工具可以全自动完成证书的购买、续订、部署等过程,例如本站正在使用 acme.sh 来自动签发证书。您还可以考虑 CertBot 或其他工具。
本站
本站目前使用 GTS 颁发的证书,有效期均为 90 天。
一旦相关工具链对短周期证书完成适配,本站将尽可能早的切换到 30 天或更短有效期的短周期证书。
本站的证书自动申请使用 acme.sh,服务器自动部署采用 NFS、rsync 配合自有工具实现,CDN 和云加速自动部署将会使用自维护的 CI/CD 实现。