SSL证书的主要作用有两个,一个是证明网站的身份,防止用户访问到假冒网站,另一个是能够对用户与服务器之间传输的数据进行加密,避免被恶意窃取。
当你在浏览器上看到一个网站地址前有一个小锁,或者地址栏显示https:// ,这就意味着该网站已经安装了SSL证书啦
不过,SSL 证书最近有一件值得关注的大事——免费证书的有效期都缩短到90天了!
为什么会缩短90天呢?今天主机吧就来说说:
免费证书有效期缩短的背景
SSL 证书在诞生之初其实并没有限制有效期,但后来随着 SSL 证书使用得越来越多,2005年5月17日由 VeriSign 和 Comodo 牵头成立国际标准组织CA/浏览器论坛,出台了一系列 SSL 证书标准,SSL 证书有效期开始缩短。
在这个论坛上,苹果等主流浏览器厂商多次提出了要继续缩短 SSL 证书的有效期至一年甚至更短,CA 机构(数字证书认证机构,负责发放和管理数字证书的权威机构)则进行抵制,两方来回拉扯。
直到2023年3月3日,谷歌发布了一个重磅话题讨论—— Moving Forward, Together(“共同前进”路线图),宣布计划将浏览器中 TLS 服务器身份验证证书有效期缩短至90天。
也就是说,谷歌如果在未来哪一天正式实施了这个计划,那么任何有效期超过90天的新网站证书都不会受到谷歌浏览器的信任,用户浏览网站的时候会显示网站不安全。
由于谷歌浏览器的市场影响力实在太大了,很多CA机构都跟着作出相应调整,所以从去年开始,大家就陆续收到各个CA机构、云厂商调整免费证书有效期的通知,腾讯云、阿里云、百度智能云的免费证书也相继将有效期从12个月调整为3个月。
为什么要缩短SSL证书的有效期呢?
谷歌在Moving Forward, Together里有提到,希望能由此鼓励证书自动化,推动HTTPS生态系统摆脱“巴洛克式”(巴洛克式是一种艺术风格,巴洛克的本意就是不规则的,不常规的意思)、耗时且容易出错的颁发流程,降低人力成本和工作难度规避人为失误导致的事故。
另一方面,有效期缩短后,用户需要不断续订,每次续订都会推动证书颁发机构再次验证最新的用户身份信息;而且SSL证书的加密算法不断发展,续订的证书可以采用最新的算法并进行密钥轮换。这些都让证书更加安全、可信。
然而,免费SSL证书有效期缩短,会对我们平时的网站管理产生影响。
对于网站管理员来说,需要更频繁地更新和维护SSL证书,平时一张证书一年只需要更新一次,现在一年要更新四次。
一旦忘了及时更新,用户在访问这些网站时可能会遇到警告,影响浏览体验,对网站的可信度产生质疑。
目前来说,解决办法有两个,一是购买收费版的SSL证书,这些证书一般都是有一年有效期的或者直接用自动化更新,目前像Let’s Encrypt都是有自动化验证部署的。
