缩短SSL证书有效期

日期:2018-02-23 来源:未知 作者:UC管理员 点击:

上个月,CAB论坛投票通过了193号提案,该提案将缩短SSL证书有效期,把现有最大的期限从3年缩短到2年。该举措是为了改善现有长有效期SSL证书固有的安全和逻辑等问题。


假如有人认为缩短有效期会影响到证书的部署和管理,下面将围绕这个要点作一个简要的概述,来解释更改SSL证书3年有效期对互联网有什么影响。

1、该提案在2018年3月1日生效。届时所有新颁发的SSL证书将受到限制,其最长有效期为825天(2年零3个月的更新缓冲期)。在此日期之前,仍然允许证书颁发机构(CA机构)颁发3年有效期的SSL证书。注意,有些机构可能会提前执行这一决策。

2、即时生效(2017年4月20日起),信息验证需在SSL证书颁发/重新颁发后825天内完成。因为这个要求立即生效,所以这会对已存在的和新签发有效期为3年的证书持有者带来一些不便,他们的证书需在最后一年有效期内重新颁发。

短有效期(1年)的证书不受以上变更的影响。

825天验证信息期限意味着,一旦验证时间已经过去了825天以上,验证将会失效,证书持有者必须进行重新验证,才能获得新证书;如果超过825天期限,这种情况同样适用。所以这会对新颁发的和已存在的证书产生影响。

在这种情形下,以下状况皆有可能发生:

外界条件要求尽可能降低更换证书的频率,所以你想尽可能长久使用3年有效期证书?

2018年3月前,用户仍可以获取3年有效期证书。即在2021年之前,用户仍可以一直拥有一个3年有效期证书,但在2018年3月,新的规定生效后,不再重新颁发证书的情况下才能实现。

如上所述,有时会有一些安全漏洞或其他行业变化是你无法控制的,这可能会要求你重新颁发证书。如SHA-1迁移,如果你并不在意被浏览器列入不安全网站队伍,那么可以选择不重新颁发证书。

注意,在行业强制性规定的截止日期前,一些机构在2018年3月前可能已停止颁发3年有效期证书。也就是说,想要赶在提案生效期前申上3年期证书,今年下半年就应着手准备啦!

存在的OV证书,想要重新颁发它?

因为825天的验证信息最长期限规定目前已经生效,当重新颁发证书时,可能需要重新完善验证信息。

这一变化很快生效,并造成大量已有验证信息突然过期,对新颁发的和已有的SSL证书都有影响。

是否受影响则取决于用户的证书最初完成验证的时间。这个日期用户可能并不记得,因为它并不一定与证书颁发的时间相同。所以这一变化会对1年或2年有效期的OV证书产生较大影响。

如果用户已经有了一个3年有效期证书,且要在有效期内最后一年重新颁发该证书,就需要重新进行验证。

验证是证明合法注册的公司存在的过程。当用户的验证信息过期后,将被要求重新完成这一过程,然后该验证将在未来825天内有效。

用户拥有一张3年有效期证书(2018年3月以前颁发)需要在2018年3月以后重新颁发?

从技术角度来说,重新颁发证书和颁发新的证书是一样的。就如在2018年3月以后,所有新颁发的证书(包括重新颁发的)最大有效期都将是825天。

当用户在2018年3月以后重新颁发已有证书时,它的有效期会被缩短到825天,以满足新的要求,以后就没什么区别了。

DV证书

从2018年3月开始,DV证书有效期将被限制在825天。在此日期之前,用户可以继续获得3年有效期证书。但是用户注意上述第一和第三种情况。

当用户需要重新颁发一个DV证书时,重新验证域的所有权是常见做法。这很简单,几分钟就能完成,只需要创建一个DNS记录,通过FTP上传一个文件到用户网站的服务器,或确认一封电子邮件即可。

EV证书

EV证书基本上不受这些变化的影响。因为EV证书满足认证的最高标准,EV证书的两个有效期都已受到更严格地限制。

EV证书有27个月的最长证书有效期限,其验证信息有效期最多只有13个月。目前没有计划缩短这两个期限,但是由于CAB论坛在安全方面提出了更高要求,EV证书有效期有可能会被限制在1年。

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。请浏览更多SSL行业新闻

tag标签:(1)
------分隔线----------------------------
------分隔线----------------------------