Apple提议将SSL证书有效期缩短为45天

SSL/TLS证书的有效期一直在缩短。
2017年，证书的最大有效期从1185天（约39个月）缩短到825天（约27个月），当时人们认为这是SSL证书发展中的一大转变。
而在接下来的几年里，证书的有效期还在持续缩短，现在Apple提出将SSL/TLS证书的有效期缩短至45天，说实话还挺“夸张”的。

为什么缩短证书有效期？
1：避免密钥泄露的风险理论上，证书的生命周期越短，即使密钥泄露，恶意攻击者能利用的时间窗口也会更小，不过根本的问题还是要找到泄露的原因，比如服务器被攻击了。
2：吊销复杂度与成本另一个经常提到的原因是，证书吊销机制的复杂性和成本较高。

传统的CRL和OCSP（现在也逐步废弃了）往往被认为效率不够高，尤其是当证书泄露需要紧急吊销时，整个流程可能会很复杂。
更深层次的好处其实是算法的发展，缩短证书有效期最合理的原因是为了应对加密算法的进步。
因为好的算法更安全，缩短证书有效期可以促使网站更快地采用更新、更安全的加密算法。
但实际操作起来并不容易，新算法需要时间测试，类似这样的工程大部分组织积极性可能并不高。
其实缩短有效期最不爽的是运维，将带来巨大的工作量，尤其是那些依赖手动更新证书的组织，虽然现在由ACME这样的工具自动更新，但普及度并不高，这种高频次的更新需求可能会成为其运维中的“噩梦”。

目前免费Let's Encrypt证书的有效期是90天，我觉得相对是合适的。

难道不能每天更新？
每天换个新的。
只是我觉得普通网站证书有什么意义？

我已经改的从https跳转到http了
不用证书。。。

fugui 发表于 2024-10-23 11:58
难道不能每天更新？
每天换个新的。
只是我觉得普通网站证书有什么意义？

我觉得证书对于普通用户来说最大的用处就是不显示不安全三个字😂