苹果在2020年2月宣布,2020年9月1日起不再信任任何有效期超过 398 天的新签发的SSL证书。近年来,谷歌、苹果等CA/B论坛成员一直在考虑进一步缩短受信任SSL证书的最长有效期,从最初的5年到3年,到2年,现在是最长有效期为1年。
苹果官方提供的理由为:
我们一直在不断努力为用户提高网络安全性,为此 Apple 将缩短所允许的 TLS 服务器证书最长使用期限。
设置证书有效期对保护证书安全性是非常重要的!基于PKI技术的数字证书,结合公钥加密算法、对称加密算法、散列算法等密码技术,用于实现认证、加密、签名等安全功能。随着全球计算力的提升,部分老旧的算法(如1024位RSA算法,及SHA-1等签名算法)已经被证明存在安全风险。为SSL证书设置有效期,便于用户及时更新证书,替换使用更为先进的加密算法,大大降低安全风险,提升整个生态系统的安全性。
有效期不得超过 398 天。也就是再也见不到2年的SSL证书。
Let's Encrypt提供免费的域名证书申请,支持多域名和泛域名,目前证书有效期为90天。通过来此加密网站可以自动申请续期,可以免费永久的使用网站SSL证书。
历史进程
3年有效期的SSL证书
在2018年3月1日之前,域名型DV证书和企业型OV证书可以购买1-3年的有效期,增强型EV证书可购买1-2年。
2年有效期的SSL证书
根据CAB论坛第193号投票结果,从2018年3月开始,所有CA颁发的证书有效期最长不能超过825天——即两年有效期,所以从2018年3月1日起所有证书购买均只能买一年或者两年。
1年有效期的SSL证书
2019年9月份,“缩短SSL证书最长有效期至1年”提议在CA/B论坛没有投票通过。