2025 年 4 月 14 日更新: 经确认,在相关证书颁发机构和证书颁发者以多数票通过后,苹果公司的 47 天提案已被 CA/B 论坛正式接受。所有 4 家主要浏览器供应商(谷歌、苹果、Mozilla 和微软)也投了赞成票。这一共识意味着这些修改将被采纳,但对时间表略有改动。
新的最终实施日期如下:
近年来,SSL/TLS 证书的有效期被大大缩短,苹果公司的最新举措标志着证书管理方式即将发生重大转变。这一趋势始于谷歌最初推动将证书有效期缩短至 90 天,旨在加强安全性并降低证书受损的风险。然而,上周,苹果公司推出了一项投票草案,计划到2027年将公共SSL/TLS证书的最长有效期缩短至47天,从而成为数字安全领域的头条新闻。此举是在CA/Browser Forum会议上公布的,与包括谷歌在内的主要浏览器领导的更广泛的行业努力相一致,即通过缩短证书有效期来增强网络安全性。
在我们的播客中了解有关不断变化的证书要求的更多信息: Trust.ID 谈话
推动 47 天证书的发放
目前,公共证书的标准最长为 398 天。不过,苹果公司的提案提出了逐步缩短这一时限的路线图,其中重要的里程碑是 2025 年和 2026 年,并最终在 2027 年 4 月达到最长 47 天。值得注意的是,该提案还包括缩短域控制验证(DCV)的重复使用期限,到 2027 年 9 月,该期限将缩短至仅 10 天。
苹果公司认为,将证书有效期缩短至 47 天是潜在的最佳做法。通过缩短证书的有效期,潜在泄露的风险窗口将大大缩小。随着行业向更严格的生命周期迈进,这将迫使企业在证书管理方面保持警惕,降低因证书过期或错误签发而造成漏洞的可能性。
IT 团队面临的挑战
这一趋势也与越来越多地采用自动化工具相吻合,因为自动化工具对于管理有效期较短的证书更新频率至关重要。在这种情况下, ACME(自动证书管理环境)已成为一种至关重要的工具,尤其是对中小型企业(SMB)而言。
虽然缩短证书有效期在安全方面的好处显而易见,但也带来了重大的操作挑战。依靠人工方法跟踪和更新证书的组织可能会发现,要跟上更频繁的更新,实在是力不从心。对于繁忙的 IT 团队来说,处理不同有效期的证书可能会增加证书过期导致服务中断的风险。
通过 ACME,企业可以自动进行证书的签发、安装和更新,确保即使缩短了 47 天的周期,证书的更新也无需人工干预。这对规模较小的企业尤为有利,因为它们往往缺乏手动管理证书的资源或时间,但仍需要遵守最新的安全标准,避免因证书过期而造成中断。
虽然到 2027 年实现 47 天证书的目标可能具有挑战性,特别是对于较小的组织而言,但 ACME 等自动化工具使其成为可能。通过为我们的企业客户采用 ACME 和类似的自动化解决方案(如证书自动化管理器),现在就实施这些解决方案的组织将为未来的网络安全做好充分准备,并可避免手动证书管理的陷阱。
想了解更多信息?请与我们联系,寻找适合您需求的最佳解决方案。
现在就实施这些解决方案的组织将为未来的网络安全做好充分准备,并可避免人工证书管理的陷阱。
编者注:本博客最初发布于 2024 年 10 月 16 日,现已更新,以反映行业变化和新见解。
