最近明月发现很多人都在抱怨国内各大厂云的免费SSL 证书有效期都缩短到了 90 天这个话题,有些人还说这是大厂割韭菜的行为。虽然明月一直都认为国内大厂云一直都在玩儿各种割韭菜的花招,但说到这个SSL 证书有效期90 天的话还真是有点儿冤枉大厂云们了。SSL 证书在诞生之初其实并没有限制有效期,但后来随着 SSL 证书使用得越来越多,2005 年 5 月 17 日由 VeriSign 和 Comodo 牵头成立国际标准组织CA/浏览器论坛,出台了一系列 SSL 证书标准,SSL 证书有效期开始缩短。
在这个论坛上,苹果等主流浏览器厂商多次提出了要继续缩短 SSL 证书的有效期至一年甚至更短,CA 机构(数字证书认证机构,负责发放和管理数字证书的权威机构)则进行抵制,两方来回拉扯。
截图来自谷歌Moving Forward, Together
直到 2023 年 3 月 3 日,谷歌发布了一个重磅话题讨论——Moving Forward,Together(“共同前进”路线图),宣布计划将浏览器中 TLS 服务器身份验证证书有效期缩短至 90 天。也就是说,谷歌如果在未来哪一天正式实施了这个计划,那么任何有效期超过 90 天的新网站证书都不会受到谷歌浏览器的信任,用户浏览网站的时候会显示网站不安全。
由于谷歌浏览器的市场影响力实在太大了,很多 CA 机构都跟着作出相应调整,所以从去年开始,大家就陆续收到各个 CA 机构、云厂商调整免费证书有效期的通知,比如:腾讯云的免费证书也在 2024 年 4 月 25 日将有效期从 12 个月调整为 3 个月。
为什么要缩短 SSL 证书的有效期呢?
谷歌在Moving Forward,Together里有提到,希望能由此鼓励证书自动化,推动HTTPS 生态系统摆脱“巴洛克式”(巴洛克式是一种艺术风格,巴洛克的本意就是不规则的,不常规的意思)、耗时且容易出错的颁发流程,降低人力成本和工作难度规避人为失误导致的事故。
另一方面,有效期缩短后,用户需要不断续订,每次续订都会推动证书颁发机构再次验证最新的用户身份信息;而且 SSL 证书的加密算法不断发展,续订的证书可以采用最新的算法并进行密钥轮换。这些都让证书更加安全、可信。
随着 SSL 证书有效期的缩短至 90 天,许多人可能会感到维护管理网站的难度有所增加。但不可否认的是,这一措施在提高整个互联网的安全标准方面发挥了关键作用。事实上,我们都需要逐步适应这一变化。缩短证书有效期不仅能显著降低因证书泄露或被盗用而带来的风险,还能促使网站更快地响应新兴的安全威胁,并迅速部署最新的安全功能。
对于管理着大量网站的组织而言,更短的证书有效期实际上有助于降低整体的证书管理成本。随着自动化工具和服务的日益成熟,管理证书生命周期已成为一种高效且可靠的趋势。现代的 SSH 证书自动化工具不断进步,使得提前制定策略、管理与监控证书变得更加容易。
对于运维人员来说,虽然任务可能变得更加频繁,但通过自动化和策略制定,维护网站的持续安全和信任并非难事。毕竟,没有什么比保护用户数据和确保在线交易的安全更为重要。通过积极采用这些工具和最佳实践,我们可以确保在数字时代中,我们的网站始终保持最高标准的安全性和可靠性。
468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
