上个月,CAB论坛投票通过了193号提案,该提案将缩短SSL证书有效期,期限变化幅度最大的是从3年缩短到2年。
该举措是为了解决长有效期证书固有的安全和逻辑问题。
假设缩短有效期会影响到证书的部署和管理,那么我们会构思一个简要的概述,来解释那些使用(或计划使用)3年有效期SSL证书的人们会受到怎样的影响。
首先,简单做一下改变:
1、2018年3月1日生效。所有新的SSL证书将受到限制,其最长有效期为825天(2年零3个月的更新缓冲期)。这会影响到DV(域验证)和OV(机构验证)证书。
在此日期之前,允许证书颁发机构颁发3年有效期的证书。注意,有些机构可能会提前终止这种做法。
2、现在开始生效(2017年4月20日起),信息验证需要在你的SSL证书颁发/重新颁发后825天内完成。因为这个要求立即生效,所以对已存在的和新的3年有效期证书持有者会有一些不便,他们的证书需要在最后一年有效期内重新颁发。
更短的像有效期(1年)的证书不受以上变更的影响。
最长825天验证信息期限即时生效意味着,一旦你的验证时间已经过去了825天以上,它会失效,需要进行重新验证,才能获得新证书;如果超过825天期限,这种情况同样适用。这会对新的和已存在的证书产生影响。
在这种情形下,以下状况皆有可能发生:
你的业务/设备要求你尽可能降低更换证书的频率,所以你想尽可能长久使用3年有效期证书?
2018年3月前,你都可以得到新的3年有效期证书。这将允许你在2021年之前一直拥有一个3年有效期证书,但只有当你在2018年3月新的最大有效期规定生效以后不再重新颁发证书的情况下才能实现。
如上所述,有时会有一些安全漏洞或其他行业变化是你无法控制的,这可能会要求你重新颁发证书。在一些情况下,如SHA-1迁移,如果你并不在意被浏览器降低待遇,那么可能不会选择重新颁发你的证书。
注意,在行业强制性规定的截止日期前,一些机构在2018年3月前可能已停止颁发3年有效期证书。也就是说,想要赶在提案生效期前申上3年期证书,今年下半年就应着手准备啦!
你有一张已存在的OV证书,想要重新颁发它?
因为825天的验证信息最长期限规定目前已经生效,当重新颁发证书时,可能需要重新完善验证信息。
这一变化很快生效,并造成大量已有验证信息突然过期,对新的和已有的证书都有影响。
你是否受影响则取决于你的证书最初完成验证的时间。那个日期你可能并不记得,因为它并不一定与你的证书开始时间相同。变化也可能会对1年或2年有效期的OV证书产生影响。
如果你已经有了一个3年有效期证书,且要在有效期内最后一年重新颁发该证书,就需要重新进行验证。
验证是证明合法注册的公司存在的过程。当你的验证信息过期后,你将被要求重新完成这一过程,然后该验证将在未来825天内有效。
你有一张3年有效期证书(2018年3月以前颁发)需要在2018年3月以后重新颁发?
从技术角度来说,重新颁发证书和颁发新的证书是一样的。就如在2018年3月以后,所有新颁发的证书(包括重新颁发的)最大有效期都将是825天。
当你在2018年3月以后重新颁发已有证书时,它的有效期会被缩短到825天,以满足新的要求,以后就没什么区别了。
你有一张DV证书
从2018年3月开始,DV证书有效期将被限制在825天。在此日期之前,你可以继续获得3年有效期证书。但是,请完全了解你可能受到的影响,注意上述第一和第三种情境。
当你重新颁发一个DV证书时,重新验证域的所有权是常见做法。这很简单,几分钟就能完成,你只需要创建一个DNS记录,通过FTP上传一个文件到你的服务器,或确认一封电子邮件即可。
你有一张EV证书
EV证书不受这些变化的影响。因为他们满足认证的最高标准,EV证书的两个有效期都已受到更严格地限制。
EV证书有27个月的最长证书有效期限,其验证信息有效期最多只有13个月。目前没有计划缩短这两个期限,但是由于CAB论坛在安全方面提出了更高要求,EV证书有效期有可能会被限制在1年。