提議草案

10月 9 日，在秋季 CA/瀏覽器論壇面對面會議的第二天，蘋果公司透露，它在GitHub 發布了一份征求意見的投票草案，提議從現在到 2027 年逐步將公共 SSL/TLS 證書的最大期限由目前的398天縮短至 45 天。該草案還提議逐步縮短 DCV（域名控制權驗證）的重用期限，非SAN驗證重用總體從825天減少到366天，SAN驗證重用總體從398天減少到10天。這些變更反映了對數據驗證和重用政策的調整，旨在提高數據的安全性和時效性。通過縮短數據重用的期限，可以減少因數據過時而導致的風險，并促進更頻繁的數據更新和驗證。

圖源：Github

此前，谷歌曾在其“共同前進”路線圖中宣布，將在未來政策更新或 CA/B 論壇投票提案中，將公共 SSL/TLS 證書的最長有效期從 398 天縮短至 90天。此次蘋果的提議，是繼谷歌之后又一瀏覽器公司發出的信息。目前，蘋果和谷歌提議縮短證書有效期，無論是縮短至90天或是45天，都是仍在討論階段的提案，但也為行業趨勢發展釋放出強烈信號。

為何瀏覽器巨頭都想要縮短SSL證書有效期？

強化安全保障

降低密鑰泄露的危害：長期使用同一SSL證書，一旦其私鑰不慎泄露，黑客便能利用這一私鑰在證書有效期內持續對數據進行非法獲取或篡改。而縮短證書的有效期限，則能顯著降低這一風險，因為即便密鑰被破解，黑客所能利用的時間窗口也會被大幅壓縮。

確保采用最新加密技術：證書的頻繁更新能夠推動網站緊跟加密技術的最新發展，及時采納最新的加密標準和技術，從而降低因使用老舊技術而引發的安全風險。隨著技術的不斷進步，新的加密標準和技術層出不窮，而證書的更新則是確保網站始終采用最先進加密手段的關鍵。

高效應對安全漏洞

促進漏洞的及時發現與修復：較短的證書有效期能夠促使網站管理員更加頻繁地檢查并更新證書，進而更容易發現并修補潛在的安全漏洞。

縮小攻擊范圍：一旦加密技術被發現存在漏洞，較短的證書有效期能夠迅速推動更新進程，從而有效減少黑客利用這些漏洞進行攻擊的可能性。

符合行業規定與法律要求

滿足合規性標準：部分行業標準和法規要求網站必須定期更新SSL證書，以確保數據的安全性和用戶隱私的保護。縮短證書的有效期有助于網站更好地遵循這些規定，避免可能面臨的法律風險。

提升用戶信任度：通過遵循行業標準和規范，以及頻繁更新證書來展現對安全的高度重視，能夠進一步增強用戶對網站的信任感。這不僅有助于提升網站的品牌形象，還能為用戶帶來更加安全、可靠的在線體驗。

蘋果提議將SSL/TLS證書的有效期從398天縮短至45天，旨在提升網絡安全性。然而，這一提議也引發了一些行業內的擔憂和反對聲音。未來，隨著這一提議的進一步討論和投票，我們可能會看到SSL/TLS證書有效期政策的調整。

消息來源：Sectigo Blog, Github