CA/B Forum: SSL证书最长有效期最终被定为两年
这项新规将在2018年实施......
随着CAB Forum第193号投票的通过,SSL行业将拥有更新更短的最长SSL证书有效期。
作为SSL行业的风向标,CAB Forum制定过许多行业规则,及规范SSL证书。其成员由证书颁发机构、浏览器厂商组成。CAB论坛第193号投票(由Entrust提出)将对所有公开信任的SSL证书的最大生命周期设置新限制。新的证书有效期为825天——即两年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。
当今SSL证书的最大有效期为3年(确切地说是39个月),而CA将继续签发该生命周期证书直到新规生效。这项规定将影响所有的SSL证书类型以及有关机构(CA及其用户)。那些依靠超长有效期证书的网站在2018年3月前仍能继续申请,也就是说这张3年有效期证书可以保障他们的网站安全直至2020年。而到那时,再申请的证书将会被两年制所替代,且最长有效期可能会随着政策的改变逐年缩短。
长期使用的证书为行业带来了问题,因为它们对变化设置了一个长期的下限。 例如,今天要更改的任何投票或规章在所有现有证书过期的39个月内不会完全生效。 虽然长期证书允许个人用户花费更少的时间重新安装证书,但它为生态系统造成了太多的问题。
上个月,谷歌提议将证书有效期缩短到13个月,被其他CA和浏览器厂商无情拒绝。大家都嫌谷歌太激进,不留情面。但同时,大家又都想缩短有效期。于是,193号提案在此后被提出。
Google最近表示,他们对更短的证书最长有效期感兴趣,因为他们提出了许多安全问题。当其投票失败时,Google代表Ryan Sleevi建议Google可以使用其他方式来减少有效期。作为浏览器厂商,Google大可在Chrome中信任的证书设置要求。
虽然这些规则不适用于任何其他浏览器,但在实践中,如果Google的要求比CAB论坛设置的更严格,则Google的要求将成为新的标准。因为SSL证书需要在所有主流浏览器中都有效,想要被认为有用,CA不得不遵守。
Sleevi最近没有发表关于创建这样的要求的任何声明,并且其他浏览器反对13个月的证书,谷歌可能不太可能制定行业不同意的政策。
无论Google是否采取单边行动,SSL行业将继续寻求缩短证书寿命。虽然这些变化会缓慢地发生,但所有证书用户都应该为未来做好准备,及时更新和更换证书。