GlobalSign 博客

从 90 天到 47 天:证书寿命的演变和自动化的作用

2024 年 11 月 18 日更新: 经过 CA/Browser 论坛的进一步讨论和社区的反馈,苹果公司缩短 TLS 证书有效期的提议已被修改。首先,最终的最长有效期从 45 天略微增加到 47 天,虽然增加幅度不大,但这表明在确定明确的时间表之前可能还会有进一步的讨论。建议的缩减日期也有所改变,有效期缩减的生效时间被推后。


新的日期是:


  • 截至 2026 年 3 月 15 日为 200 天、
    截至 2027 年 3 月 15 日为 100 天
    截至 2028 年 3 月 15 日为 47 天。

近年来,SSL/TLS 证书有效期大幅缩短,苹果公司的最新举措标志着证书管理方式即将发生重大转变。这一趋势始于谷歌最初推动将证书有效期缩短至 90 天,旨在加强安全性并降低证书受损的风险。然而,上周,苹果公司推出了一项投票草案,计划到2027年将公共SSL/TLS证书的最长有效期缩短至45天,从而成为数字安全领域的头条新闻。此举是在 CA/Browser Forum 会议上公布的,与包括谷歌在内的主要浏览器领导的更广泛的行业努力相一致,即通过缩短证书有效期来增强网络安全性。

推行 45 天证书

目前,公共证书的标准最长为 398 天。不过,苹果公司的提案提出了逐步缩短这一时限的路线图,其中重要的里程碑是 2025 年和 2026 年,并最终在 2027 年 4 月达到最长 45 天。值得注意的是,该提案还包括缩短域控制验证(DCV)的重复使用期限,到 2027 年 9 月,该期限将缩短至仅 10 天。

Certificate Lifespan Table

苹果公司认为,将证书有效期缩短至 45 天是潜在的最佳做法。通过缩短证书的有效期,潜在泄露的风险窗口将大大缩小。随着行业向更严格的生命周期迈进,这将迫使企业在证书管理方面保持警惕,降低因证书过期或错误签发而造成漏洞的可能性。

IT 团队面临的挑战

这一趋势也与越来越多地采用自动化工具相吻合,因为自动化工具对于管理有效期较短的证书更新频率至关重要。在这种情况下, ACME(自动证书管理环境)已成为一种至关重要的工具,尤其是对中小型企业(SMB)而言。

虽然缩短证书有效期在安全方面的好处显而易见,但也带来了重大的操作挑战。依靠人工方法跟踪和更新证书的组织可能会发现,要跟上更频繁的更新,实在是力不从心。对于繁忙的 IT 团队来说,处理不同有效期的证书可能会增加证书过期导致服务中断的风险。

通过 ACME,企业可以自动进行证书的签发、安装和更新,确保即使缩短了 45 天的周期,证书的更新也无需人工干预。这对规模较小的企业尤为有利,因为它们往往缺乏手动管理证书的资源或时间,但仍需要遵守最新的安全标准,避免因证书过期而造成中断。

虽然在 2027 年之前实现 45 天证书的目标可能具有挑战性,特别是对于较小的组织而言,但 ACME 等自动化工具使其成为可能。通过为我们的企业客户采用 ACME 和类似的自动化解决方案(如证书自动化管理器),现在就实施这些解决方案的组织将为未来的网络安全做好充分准备,并可避免手动证书管理的陷阱。

想了解更多信息? 请与我们联系,寻找适合您需求的最佳解决方案。

现在就实施这些解决方案的组织将为未来的网络安全做好充分准备,并可避免人工证书管理的陷阱。


编者注:本博客最初发布于 2024 年 10 月 16 日,现已更新,以反映行业变化和新见解。

近期博客