SSL 证书作为建站必备四件套,相信各位站长们都不陌生。
SSL证书的主要作用有两个,一个是证明网站的身份,防止用户访问到假冒网站,另一个是能够对用户与服务器之间传输的数据进行加密,避免被恶意窃取。
当你在浏览器上看到一个网站地址前有一个小锁,或者地址栏显示https:// ,这就意味着该网站已经安装了SSL证书啦
不过,SSL 证书最近有一件值得关注的大事——免费证书的有效期都缩短到90天了!我们应该如何理解、如何应对,D妹为你详细说说~
免费证书有效期缩短的背景
SSL 证书在诞生之初其实并没有限制有效期,但后来随着 SSL 证书使用得越来越多,2005年5月17日由 VeriSign 和 Comodo 牵头成立国际标准组织CA/浏览器论坛,出台了一系列 SSL 证书标准,SSL 证书有效期开始缩短。
在这个论坛上,苹果等主流浏览器厂商多次提出了要继续缩短 SSL 证书的有效期至一年甚至更短,CA 机构(数字证书认证机构,负责发放和管理数字证书的权威机构)则进行抵制,两方来回拉扯。
直到2023年3月3日,谷歌发布了一个重磅话题讨论—— Moving Forward, Together(“共同前进”路线图),宣布计划将浏览器中 TLS 服务器身份验证证书有效期缩短至90天。
也就是说,谷歌如果在未来哪一天正式实施了这个计划,那么任何有效期超过90天的新网站证书都不会受到谷歌浏览器的信任,用户浏览网站的时候会显示网站不安全。
截图来自谷歌Moving Forward, Together
由于谷歌浏览器的市场影响力实在太大了,很多CA机构都跟着作出相应调整,所以从去年开始,大家就陆续收到各个CA机构、云厂商调整免费证书有效期的通知,腾讯云的免费证书也在2024年4月25日将有效期从12个月调整为3个月。
主流浏览器
为什么要缩短SSL证书的有效期呢?
谷歌在Moving Forward, Together里有提到,希望能由此鼓励证书自动化,推动HTTPS生态系统摆脱“巴洛克式”(巴洛克式是一种艺术风格,巴洛克的本意就是不规则的,不常规的意思)、耗时且容易出错的颁发流程,降低人力成本和工作难度规避人为失误导致的事故。
另一方面,有效期缩短后,用户需要不断续订,每次续订都会推动证书颁发机构再次验证最新的用户身份信息;而且SSL证书的加密算法不断发展,续订的证书可以采用最新的算法并进行密钥轮换。这些都让证书更加安全、可信。
然而,免费SSL证书有效期缩短,会对我们平时的网站管理产生影响。
对于网站管理员来说,需要更频繁地更新和维护SSL证书,平时一张证书一年只需要更新一次,现在一年要更新四次。
一旦忘了及时更新,用户在访问这些网站时可能会遇到警告,影响浏览体验,对网站的可信度产生质疑。
那么,我们如何应对这个变化呢?D妹为大家整理了以下几种方法,一起来看看吧
01
证书到期前提醒
如果你选择手动更新你的证书,那么你需要对现有的SSL证书进行全面盘点,包括证书类型、颁发详情和到期日期。
不过,很多小伙伴可能还在用Excel来人工记录和管理,有时候会忘记申请新证书,等用户投诉了才发现。
因此,D妹推荐你将SSL证书上传到腾讯云,上传证书后,腾讯云会在证书到期前29天、15天、3天自动通过邮件、短信通知你,让你在证书到期前有足够的时间来申请新的证书,并部署到你的资源上。
02
切换到付费证书
如果你的网站有足够的预算,你也可以考虑切换到付费的SSL证书。这些证书通常有更长的有效期,而且提供更完善、更强大的功能。
尽管谷歌在倡议和推进缩短证书有效期至90天,但始终还未正式实施。在正式实施之前,你可以为重要业务选购一年期或多年期证书,无需再频繁更新。(证书签发后才开始计算有效期,提前购买不影响后续使用)
03
自动化更新
付费证书除了比免费证书的有效期更长,还提供了强大的自动化更新证书功能。这意味着,你只需要设置一次,后续就不用再去手动更新了,大大减少管理负担。
-SSL证书在腾讯申请,云资源在腾讯云
如果你是在腾讯云申请的SSL证书,并且云资源在腾讯云,可以开启自动续费证书和证书托管功能,即可实现自动化更新证书。
尤其推荐一些对安全性要求极高的大型网站、涉及敏感交易场景的网站使用,如何操作可以参考证书自动化解决方案。
总的来说,你只需要操作两步:
1、在腾讯云SSL证书控制台-->我的证书,开启自动续费;
2、在腾讯云SSL证书控制台-->证书托管,提前设置要将证书部署在哪些云资源、资源替换时间。
设置完,你的证书以后就会在到期前自动签发新证书,同时将新证书自动部署到对应的云资源,不要再费心管理了。
-SSL证书不在腾讯申请,云资源在腾讯云
如果你已经通过其他自动化工具实现了自动签发SSL证书(例如已经使用 Let‘s Encrypt证书多年),但是云资源在腾讯云,苦恼怎么将自动签发的SSL证书部署到腾讯云资源。
腾讯云SSL证书已经提前为你准备好了“一键更新云资源”的自动化能力,免费供你使用!
总的来说,你只需要操作三步:
1、在腾讯云SSL证书控制台-->我的证书,上传证书到腾讯云
2、上传完证书后,在这个证书的操作里选择更多-->更新
3、选择要部署的腾讯云资源,确认后提交更新
本期互动
虽然免费SSL证书的有效期缩短会带来一些不便,但是通过证书到期前提醒、切换到付费证书、自动化更新SSL证书等措施,我们完全可以应对这个变化。
你自己是如何应对证书有效期缩短的呢?证书有效期缩短对你有什么影响?欢迎在评论区留言!
推荐阅读:
26
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
