а√天堂www在线а√天堂视频,成人免费国产精品视频,wwwgaoavcom,51精品国自产在线,宝贝小嫩嫩好紧好爽h视频

2025-06-25

SSL證書有效期:2026年縮短至200天,2027年100天,2029年47天!


CA證書/瀏覽器論壇已正式表決修改SSL基線要求,以制定縮短SSL證書有效期和證書中的CA已驗證信息重用期的時間表。本次表決將于2026年3月首次對用戶造成影響。

各方在CA/瀏覽器論壇中對本次表決進行了長時間的辯論,表決經(jīng)歷了幾個版本,其中納入了證書頒發(fā)機構(gòu)及其客戶的反饋意見。表決期終止于2025年4月11日,結(jié)束了激烈辯論的環(huán)節(jié),以使證書相關(guān)方開始為后續(xù)工作做計劃。

47天有效期_副本.jpg


新的SSL證書有效期安排

本次表決聚焦于47天的SSL證書有效期,因此自動化至關(guān)重要。在蘋果公司提出該提案之前,谷歌提出了最長有效期為90天的方案,但谷歌在表決開始后立即投票贊成蘋果公司的提案。有效期安排如下:

  • SSL證書的最長有效期將被縮短:

  • 自即日起至2026年3月15日,TLS證書的最長有效期為398天。


  • 自2026年3月15日起,TLS證書的最長有效期為200天。


  • 自2027年3月15日起,TLS證書的最長有效期為100天。


  • 自2029年3月15日起,TLS證書的最長有效期為47天。

  • 域名和IP地址驗證信息的最長重用期將被縮短:


  • 自即日起至2026年3月15日,域名驗證信息的最長重用期為398天。


  • 自2026年3月15日起,域名驗證信息的最長重用期為200天。


  • 自2027年3月15日起,域名驗證信息的最長重用期為100天。


  • 自2029年3月15日起,域名驗證信息的最長重用期為10天。

  • 自2026年3月15日起,使用者身份信息(SII)驗證的重用期將從825天縮短至398天。SII是OV(組織驗證)或EV(擴展驗證)證書中的公司名稱與其他信息,即除受證書保護的域名或IP地址之外的所有信息。這不影響沒有SII的DV(域名驗證)證書。


為什么是47天?

47天似乎是一個隨意選擇的數(shù)字,但它是一個簡單的“級聯(lián)”:

  • 200天=最長的6個月(184天)+1/2個有30天的月份(15天)+1天的余地


  • 100天=最長的3個月(92天)+~1/4個有30天的月份(7天)+1天的余地


  • 47天=最長的1個月(31天)+1/2個有30天的月份(15天)+1天的余地

蘋果公司對這一變化的解釋

在表決中,蘋果公司提出了許多支持這些舉措的論點,其中一點最值得一提。蘋果公司表示,多年以來,CA/B論壇一直在通過穩(wěn)步縮短證書的最長有效期來告訴大家,自動化對于有效的證書生命周期管理而言必不可少。

本次表決指出,出于多種原因,縮短證書有效期是必要的,而其中最突出的是:隨著時間的推移,證書中的信息越來越不可信,這個問題只有通過頻繁地重新驗證信息來解決。

本次表決還指出,使用CRL和OCSP的吊銷系統(tǒng)不可靠。事實上,瀏覽器經(jīng)常忽略這些功能。表決中有很長一段內(nèi)容與證書吊銷系統(tǒng)的失效相關(guān)。更短的證書有效期減輕了使用可能被吊銷的證書的影響。2023年,CA/B論壇批準(zhǔn)了7天內(nèi)到期的短期證書,且這些證書不需要CRL或OCSP支持,從而將這一理念提升到了新的層面。


澄清對新規(guī)定的困惑

新規(guī)則里有兩點可能會引起混淆:

規(guī)則發(fā)生變化的三年是2026年、2027年和2029年,但后兩個年份相隔兩年。

1.自2029年3月15日起,TLS證書的最長有效期為47天,但域名驗證信息的最長重用期僅為10天。手動重新驗證在技術(shù)上仍然是可能的,但是這樣做會導(dǎo)致故障和停機。

2.作為證書頒發(fā)機構(gòu),客戶反饋給我們的最常見的一個問題是,他們是否會因為更頻繁地替換證書而被收取更多的費用。答案是否定的。費用基于年度訂購,而且我們已經(jīng)了解到,一旦用戶采用自動化,他們通常會自愿選擇更短的證書替換周期。

出于這個原因,而且2027年證書有效期縮短為100天就將使手動流程無法維持,因此我們預(yù)計自動化會在遠早于2029年的時候被迅速采用。

蘋果公司關(guān)于證書生命周期管理自動化的聲明無可爭議,但這是我們長期以來一直在做準(zhǔn)備的事情。DigiCert通過Trust Lifecycle Manager和CertCentral提供多種自動化解決方案,包括對ACME的支持。DigiCert的ACME允許DV、OV和EV證書的自動化,并包括對ACME續(xù)訂信息(ARI)的支持。


如您有任何疑問,請與我們聯(lián)系,以了解SSL證書有效期調(diào)整及Digicert SSL證書自動化的更多信息。