自2018年3月1日起,三年期SSL证书将无法购置,该变化是由证书颁发机构和浏览器厂商论坛CAB Forum制定的。
如果你用了很久的SSL证书,你或许知道以前还有五年期证书。然而随着互联网的发展和加密方式的变迁,每五年换一次证书会让你的网站在各种新型攻击下变得脆弱不堪。
于是为了用户安全,浏览器厂商不断地压缩证书有效期的周期。更新证书是很有必要的,它不仅保证了您的安全实施是最新的,还告诉CA们您的网站仍值得信赖。
虽然缩短证书有效期怎么看都像是CA想让客户多花钱,但成天想着把周期压到90天的却是谷歌。但无论何时,经常性地替换证书从保障安全的角度来说永远都是最重要的。
试想五年前,我们用的密钥套件是哪一款?SHA-1啊!一款被吐槽了N年的不安全的密钥套件。虽说现在所有老证书都不得不由于SHA-1的原因重新签发,但这正应证了本文的观点——越旧的证书越没保障。
需要重现签发证书的另一个原因是CA必须重新验证你。这可以确保您的信息是最新的,并且您仍然有权为您的域名颁发证书。 请记住,浏览器正在向用户表明他们可以信任与您的网站的连接,因为您已经受到可信第三方的审查。 就像驾驶执照一样,您偶尔也必须与第三方办理登机手续,以确保所有内容都是最新的。
所以,从3月1日开始,两年是您使用任何SSL证书所能获得的最长使用期限。 这一改变不影响EV证书,因为介于EV SSL收到的信任级别(唯一的绿色指标),两年本就是其最高年限。
具体的办法如下:
如果您的SSL证书在2018年3月1日前签发,您的证书有效期将不受影响
所有2018年3月1日之后签发的证书,最高有效期仅2年(825天)
DV和OV证书只能用825天
过了825天,CA 要重新对你进行验证。而且这也是追溯性的,所以无论你现在的证书是多么旧,它都是在825天内计算的。 由于日期将近,验证过程中涉及的时间可能有所增加,因为CA将被迫更频繁地重新验证。
什么情况下需要重新签发证书呢?
给证书添加新域名的时候
给证书移除老域名的时候
给证书换一个域名的时候
更改组织信息的时候
证书发重的时候
如果您正计划在接下来的三年里做以上的调整,换一张两年期证书并及早更新它即可。
最后,CAB论坛还有一些关于删除某些域名控制验证方法(如Whois查询)的喋喋不休的问题。