GlobalSign 新闻中心

03 2020

SSL / TLS证书的最长有效期现为一年


从9月1日开始,SSL / TLS证书的最长有效期时间不得超过13个月(397天)。苹果在今年三月举行的CA /B论坛会议上首次宣布了这一更改。上周,在CA / B论坛上,谷歌宣布了将苹果的变化与自己的根程序相匹配的意图。 还有一个浏览器驱动的投票,旨在使行业的基线要求与新的根程序更改保持一致,论坛目前正在辩论这个问题。


SSL / TLS证书有效期缩短的原因


从高级别的理论角度来看,有效期较短的证书有两个主要好处:


第一个是技术方面—使用期限更长意味着更新或更改需要更长的时间。一个真实的例子就是从SHA1到SHA2的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书,否则可能要花费数年才能替换所有旧证书。对于SHA1,花了三年的时间。这会带来风险。 


另一个好处与身份有关—用于验证身份的信息应保持信任多长时间?验证之间的时间越长,风险越大。谷歌表示,在理想的世界范围内,验证大约每六个小时进行一次。 


在2015年之前,您可以获得长达五年的SSL / TLS证书。减少到三年,然后在2018年再次减少到两年。在2019年底,在CA / B论坛上提议了一次投票,将其缩短为一年的证书,颁发机构对投票进行了否决。


那么,为什么证书仍然减少到一年呢?


CA / B论坛是一个行业团体,以发行可信数字证书的要求进行投票。但是,它不是理事机构。即使CA表示担心,并且不愿意再次降低最大有效性,但苹果和谷歌完全有权根据自己的意愿更新其根程序的政策。 


证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在CA方面,如果浏览器不信任公共证书有什么用?


这一切的管理方式是通过根程序。有四个主要的根程序需要注意:

  • 微软

  • 苹果

  • Mozilla

  • 谷歌

    为了使CA的证书受到根程序的信任,并扩展到使用它们的浏览器和操作系统,它必须遵守根程序的指导原则。CA / B论坛是一个行业论坛,可以理想地帮助促进对根程序的更改。 但是作为浏览器参与的根程序仍然可以单方面采取行动,并根据需要进行更改。当发生这种情况时,在互操作性的需求上,无论根程序策略具有最严格的标准,它都会成为新基准要求。 


     SSL / TLS有效期缩短对网站所有者意味着什么?

  • 首先,这将于2020年9月1日生效。因此,如果您使用的是9月1日之前签发的两年期证书, 那么您的证书将在其原始到期日之前一直保持有效。只是在未来两年内无法续约。或者换一种说法,你必须在9月1日之前拿到两年期的证书,之后,有效期将被降级一年。 

    从更大的角度来看,这可能是开始考虑自动执行更多证书管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织,也适用于使用公共信任的电子邮件证书的组织,以及使用私有CA或基于PKI的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任,这也有助于管理,您甚至可以使用该方法颁发具有更长有效期的证书。 否则,根程序继续前进以缩短有效性的方式进行处理。在将来的某个时候,组织将不得不被迫自动执行许多此类操作。 


     GlobalSign将如何处理一年期证书

  • GlobalSign从8月31日开始订购SSL / TLS客户的一年期证书,其最长有效期为397天。这适用于新订单和续约,为客户提供最大的有效性。您可以在证书过期之前续约证书,但由于我们无法再为您提供最多90天的有效期,我们建议您在到期后30天内续订。


     重新颁发证书怎么办?

  • 更改生效后,如果您重新颁发其中一张两年期证书,会发生什么情况。如果您重新颁发证书并失去有效性(我们必须将有效期限制为397天),则可以在以后(最好是原始证书过期之前少于397天)重新颁发证书,并从第一次重新颁发中恢复丢失的有效性!(这与2018年从三年最大有效期降低到两年的方式相同。)

    需要注意的一项是,由于EV准则(EVGL)对重新颁发证书的要求,EV的重新颁发过程有些不同。虽然您仍然可以重新发布证书,但是它们将排队等待人工检查,我们需要确保所有验证都是最新的,然后才能颁发它。

  • 什么变化?

  • 由于苹果和谷歌根存储策略的变化,从9月1日开始,所有新的SSL / TLS证书的最长有效期都不得超过397天(13个月)。因此, GlobalSign对证书颁发策略进行了一些修改:

  • QWAC证书的最长有效期为397天

  • 证书以旧换新将被取消

  • 30天的续订奖金将被取消

  • 此更改何时生效? 
    2020年9月1日


  • 续签将如何进行?

  • 我刚刚购买了有效期为2年的TLS证书,那么9月1日以后会被信任吗?

    是的受信任,在2020年9月1日之前颁发且有效期大于397天的TLS证书将继续受到信任。 

  • 举个例子,例如: 

  • 2年期SSL/TLS于2020年8月1日订购并颁发,有效期至2022年8月1日

  • 那么您需要在2020年9月1日重新签发此证书(一旦更改生效)

  • 我们必须将此证书的有效期缩短到397天-将有效期更改为:2021年10月3日

  • 然后,您可以在稍后的日期重新颁发以恢复丢失的有效性。

  • 证书将于2021年10月1日重新颁发,并且该证书的有效期将再次到原始到期日期:2022年8月1日 

      如果您有任何疑问,请随时与我们联系。



返回 GlobalSign 新闻中心