往期交易签到中心做个任务
收藏本站切换到宽版
  • 论坛BBS
  • 娱乐
  • 商店
  • 家园Space
  • 交易
    • 注册
    奶昔论坛»论坛 交流 日常 推行 45 天证书?SSL/TLS证书渐进缩短至47天的投票已经 ...
    返回列表 发布新帖
    查看: 270|回复: 8

    推行 45 天证书?SSL/TLS证书渐进缩短至47天的投票已经完成

    nyarime
    发表于 前天 19:16 | 查看全部 |阅读模式

    立刻注册账号,享受更清爽的界面!

    您需要 登录 才可以下载或查看,没有账号?注册

    ×
    先说投票结果:尘埃落定,自动化终将成为趋势。
    浏览器厂家全票通过,CA厂家25家赞成,0反对,5弃权,
    https://groups.google.com/a/grou ... rt-wg/c/9768xgUUfhQ



    十年前,你可以购买一个5年期的SSL证书,这个数字已经从3年稳步减少到2年,然后下降到目前的最高有效期398天(即大约13个月)。
    近年来,苹果公司和其他主要网络浏览器一直倡导缩短公共证书的生命周期,SSL/TLS证书的有效期逐渐从数年减少到目前的398天最大值。因此像奶昔的数字证书只能签发最长13个月的有效期,这是在CA/B论坛的基线要求中设定的。

    这一趋势始于谷歌在2023年3月初举行的CA/B面对面论坛会议推动将证书有效期缩短至 90 天。然后由苹果公司在2024年11月初推出了一项投票草案,计划到2027年将公共SSL/TLS证书的最长有效期缩短至45天。这件事在2024 年 11 月 18 日经过 CA/Browser 论坛的进一步讨论和社区的反馈,苹果公司缩短 TLS 证书有效期的提议已被修改。
    首先,最终的最长有效期从 45 天略微增加到 47 天,如标题所示,今天TLS HTTPS渐进缩短至47天的投票已经完成。

    苹果提出的分阶段方法并不会立即将证书有效期缩短至47天,以下图(苹果公司的提案提出了逐步缩短这一时限的路线图)为例,其中重要的里程碑是 2025 年和 2026 年,并最终在 2027 年 4 月达到最长 45 天。值得注意的是,该提案还包括缩短域控制验证(DCV)的重复使用期限,到 2027 年 9 月,该期限将缩短至仅 10 天。
    Certificate_Lifespans_Table.jpg

    最后 CA/Browser 论坛采纳了苹果分阶段的方法,每年以较慢和稳定的速度缩短有效期。将接下来的证书签发最长时间将变成截至 2026 年 3 月 15 日为 200 天、截至 2027 年 3 月 15 日为 100 天、截至 2028 年 3 月 15 日为 47 天。为了方便您知道新的日期,这里做了一张表格:
    日期 最大证书时间
    2026年3月14日及之前 398天
    2026年3月15日-2027年3月14日 200天
    2027年3月15日-2028年3月14日 100天
    2028年3月15日及以后 47天

    在这种情况下, ACME(自动证书管理环境)已成为一种至关重要的工具。对于一些企业来说,并不想每年更换证书,但基于安全性,却不得不这么做。

    一方面,短期更换证书能确保Web开发人员始终使用最新的SSL证书加密标准和技术,另外,还能降低黑客利用旧的或被忽略的SSL证书进行网络钓鱼或恶意软件攻击的风险。

    反之,有效期的缩短给管理证书的Web开发人员或网站所有者带来了更多的工作量,将要求他们增加证书替换的频率,这也意味着成本的提高,而企业如果忽略证书的有效期,导致证书过期,那么频繁的过期证书警告可能导致Web访问者更容易绕过安全警告,还可能造成服务中断从而给企业带来财产损失。

    因此,如何管理大规模寿命短暂的证书,将是企业需要思考的问题。
    爱生活,爱奶昔~
    回复

    使用道具 举报

    Summitsky
    发表于 前天 19:17 | 查看全部
    这下估计之前的“降本增笑”笑话会越来越频繁地出现
    爱生活,爱奶昔~
    回复 支持 1 反对 0

    使用道具 举报

    发表于 前天 19:38 | 查看全部
    Summitsky 发表于 2025-4-13 19:17
    这下估计之前的“降本增笑”笑话会越来越频繁地出现

    还真是
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    fkeyou
    发表于 前天 19:49 | 查看全部
    感谢站长科普
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    nyarime
     楼主| 发表于 前天 19:52 | 查看全部
    fkeyou 发表于 2025-4-13 19:49
    感谢站长科普

    接下来证书生意没得做了,我总不能接个acme换完证书再重启?
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    soraneoumi
    发表于 前天 19:55 | 查看全部
    这俩没一个支持oscp的,还谈提高安全性,幽默完了,回归http,打倒ca和毒瘤浏览器垄断
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    nyarime
     楼主| 发表于 前天 21:00 | 查看全部
    soraneoumi 发表于 2025-4-13 19:55
    这俩没一个支持oscp的,还谈提高安全性,幽默完了,回归http,打倒ca和毒瘤浏览器垄断 ...

    还是得用SSL证书的,自签自信即可。包括中国移民局的那个出入境记录的签名用的GDCA,自己就是根,也提供了校验的方式
    信任这种RootCA本就是一种不妥的方式,一方面根证书越老越有价值,且OV/EV证书的保险估计到期了都用不了一次。总之没有任何鸟用,且DV/OV/EV这三种加密程度一模一样
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    soraneoumi
    发表于 前天 21:53 | 查看全部
    nyarime 发表于 2025-4-13 21:00
    还是得用SSL证书的,自签自信即可。包括中国移民局的那个出入境记录的签名用的GDCA,自己就是根,也提供 ...

    但是面向不特定多数用户的网站,怎么让用户信任自己的证书呢。原来移民局还用这种方式,我是第一次知道
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    nyarime
     楼主| 发表于 前天 21:54 | 查看全部
    soraneoumi 发表于 2025-4-13 21:53
    但是面向不特定多数用户的网站,怎么让用户信任自己的证书呢。原来移民局还用这种方式,我是第一次知道 ...

    电子文件所载电子签名认证证书有效性的颁发者证书,港卡的线上开户要的是这个出入境记录,就是通过这个验证签名的
    https://s.nia.gov.cn/mps/download/dzwjyqzn.pdf
    爱生活,爱奶昔~
    回复 支持 反对

    使用道具 举报

    返回列表 发布新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    相关网站

    9eSIM Xesim eSIM.GG JSDMirror MoeCloud

    站内导航

    统一账号 奶昔超市 数字证书 电报频道 电报群组

    商业推广

    商家申请规则 Apply for Provider 合作商家展示
    • 关注公众号
    • 添加微信客服
    © 2025 Naixi Networks 沪ICP备13020230号-1|沪公网安备 31010702007642号
    关灯 在本版发帖
    扫一扫添加微信客服
     返回顶部
    快速回复 返回顶部 返回列表