首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

三年有效期SSL证书将于2018年3月1日下架

自2018年3月1日起,三年期SSL证书将无法购置,该变化是由证书颁发机构和浏览器厂商论坛CAB Forum制定的。

如果你用了很久的SSL证书,你或许知道以前还有五年期证书。然而随着互联网的发展和加密方式的变迁,每五年换一次证书会让你的网站在各种新型攻击下变得脆弱不堪。

于是为了用户安全,浏览器厂商不断地压缩证书有效期的周期。更新证书是很有必要的,它不仅保证了您的安全实施是最新的,还告诉CA们您的网站仍值得信赖。

虽然缩短证书有效期怎么看都像是CA想让客户多花钱,但成天想着把周期压到90天的却是谷歌。但无论何时,经常性地替换证书从保障安全的角度来说永远都是最重要的。

试想五年前,我们用的密钥套件是哪一款?SHA-1啊!一款被吐槽了N年的不安全的密钥套件。虽说现在所有老证书都不得不由于SHA-1的原因重新签发,但这正应证了本文的观点——越旧的证书越没保障。

需要重现签发证书的另一个原因是CA必须重新验证你。这可以确保您的信息是最新的,并且您仍然有权为您的域名颁发证书。 请记住,浏览器正在向用户表明他们可以信任与您的网站的连接,因为您已经受到可信第三方的审查。 就像驾驶执照一样,您偶尔也必须与第三方办理登机手续,以确保所有内容都是最新的。

所以,从3月1日开始,两年是您使用任何SSL证书所能获得的最长使用期限。 这一改变不影响EV证书,因为介于EV SSL收到的信任级别(唯一的绿色指标),两年本就是其最高年限。

具体的办法如下

如果您的SSL证书在2018年3月1日前签发,您的证书有效期将不受影响

所有2018年3月1日之后签发的证书,最高有效期仅2年(825天)

DV和OV证书只能用825天

过了825天,CA 要重新对你进行验证。而且这也是追溯性的,所以无论你现在的证书是多么旧,它都是在825天内计算的。 由于日期将近,验证过程中涉及的时间可能有所增加,因为CA将被迫更频繁地重新验证。

什么情况下

需要重新签发证书呢?

给证书添加新域名的时候

给证书移除老域名的时候

给证书换一个域名的时候

更改组织信息的时候

证书发重的时候

如果您正计划在接下来的三年里做以上的调整,换一张两年期证书并及早更新它即可。

最后,CAB论坛还有一些关于删除某些域名控制验证方法(如Whois查询)的喋喋不休的问题。有兴趣的读者可戳https://cabforum.org/ 查看。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180206G0FV8F00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券