证书有效期已经正式改变

从现在开始，新的TLS证书的寿命将从之前的27个月（825天）最长寿命限制为398天（一年多一点）

为了提高安全性，Apple，Google和Mozilla将拒绝在其各自的Web浏览器中公开创建的数字证书，这些证书自其创建之日起已失效13个月（或398天）。

在过去十年中，SSL / TLS证书的寿命已大大缩短。2011年，由证书颁发机构和浏览器软件供应商组成的联盟证书颁发机构浏览器论坛（CA / Browser Forum）规定了5年的限制，使证书的有效期从8-10年缩短。

随后在2015年将其缩短为三年，到2018年又缩短为两年。

尽管去年9月的一次投票中否决了将TLS / SSL寿命减少到一年的提议，但该措施得到了苹果，谷歌，微软，Mozilla和Opera等浏览器制造商的压倒性支持。

然后在今年2月，苹果成为第一家宣布打算拒绝在9月1日或之后发布的有效期超过398天的新TLS的公司。从那时起，Google和Mozilla都效仿了类似的398天限制。

对于在生效日期之前颁发的证书，也不会影响从用户添加或管理员添加的根证书颁发机构（CA）颁发的证书。

苹果在支持文件中解释说：“违反这些新要求的TLS服务器连接将失败。” “这可能会导致网络和应用失败，并阻止网站加载。”

对于Google而言，它打算以错误“ ERR_CERT_VALIDITY_TOO_LONG”拒绝违反有效性条款的证书，并将其视为错误签发。

此外，某些SSL证书提供商（例如Digicert和Sectigo）已经停止颁发有效期为两年的证书。

为避免意外后果，Apple建议颁发证书的最长有效期为397天。

为什么缩短证书寿命？

限制TLS / SSL的生存期可以提高网站安全性，因为它减少了可以利用受感染或伪造的证书进行网络钓鱼和恶意软件攻击的时间。

那不是全部。由于性能限制，Chrome和Firefox的移动版本无法主动检查证书状态，从而导致加载具有吊销证书的网站而不会向用户发出任何警告。

对于开发人员和网站所有者而言，开发时机是使用诸如Let's Encrypt和EFF的CertBot之类的工具实施证书自动化的好时机，这些工具提供了一种无需人工干预即可轻松设置，发行，更新和替换SSL的方法。

Keyfactor首席安全官克里斯·希克曼（Chris Hickman）表示：“过期的证书仍然是一个巨大的问题，每年因中断而给公司造成数百万美元的损失。” “最重要的是，更频繁地过期的证书警告可能会导致Web访问者更容易绕过安全警告和错误消息。”

“但是，证书订户经常忘记如何或何时更换证书，从而由于意外到期而导致服务中断[...]，使他们缺乏足够的能力来大规模管理这些新的较短寿命。”

如何安全有效的管理证书？

HSM提供加密密钥的安全管理以及加密/解密，数字签名和认证机制，这些机制经常用于公司业务应用程序的安全性。全球认证的HSM不仅可以保证与现有业务工作流程的安全和熟练的集成，还可以为买方和系统评估人员的信任提供法律和法规遵从性。

Thales公司的HSM产品，同时拥有FIPS 140-2 Level 3和CC EAL4+两种认证，是最佳的信任根（证书）存储设备。单台设备每秒10,000tps的签名速率，多台设备可集群部署，可使您轻松面对SSL加速的业务需求。

点击此处，可查看《关于签名、证书、时间戳的常见问题及解答》

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• EV SSL 证书：优点和缺点

• 较短证书有效期的优点：证书自动化的好处

• 大量数据泄露意味着现在是时候以数据为中心的安全了

• 泰雷兹(Thales)和Quantinuum提供了一个值得信赖的基础，以帮助组织今天开始创造量子弹性

• 联网车辆的网络安全