近日,苹果公司在SSL/TLS证书有效期管理方面的提议取得了重要进展。SSL/TLS证书,作为保障网站安全的关键协议,其有效期长度一直是行业关注的焦点。
苹果此前向CA/B论坛提出了缩短所有SSL/TLS证书有效期的建议,旨在增强网络安全性。CA/B论坛是一个负责监管SSL/TLS证书行业的权威组织。经过多轮深入讨论,4月13日,该论坛的服务器证书工作组正式投票通过了SC-081v3提案。
根据提案内容,公开信任的TLS证书有效期将从当前的398天逐步缩短至47天。同时,SAN(主题备用名称)数据重用周期也被缩短至10天。这一决定不仅满足了CA/B论坛章程的要求,还标志着网络安全标准将迈上新的台阶。
投票结果显示,该提案获得了证书颁发机构(CA)的广泛支持。在参与投票的CA中,有25家投出了赞成票,包括Amazon、DigiCert、GlobalSign、GoDaddy等知名机构;而Entrust、IdenTrust等5家CA则选择了弃权。在证书消费者方面,苹果、谷歌、微软和Mozilla等四大巨头均表示支持,无一反对或弃权。
SSL/TLS证书作为数字身份证,在保护网络通信安全、确认网站身份方面发挥着至关重要的作用。它通过公有密钥基础设施(PKI)系统,在双方都信任同一个第三方(即CA)的情况下,实现身份确认和加密通信。受SSL/TLS保护的网站通常会在浏览器地址栏中显示挂锁图标和https前缀,用户可以通过点击挂锁图标来检查证书的有效性。
缩短证书有效期和数据重用期限,旨在提高证书的平均净可靠性。提案指出,证书是某一时刻现实状态的表示,随着时间推移,证书中代表的数据与现实相偏离的可能性增大。因此,更频繁地验证用于颁发证书的信息,并降低证书的最大有效期,有助于减少不当验证的风险及其对生态系统造成的负面影响。
为确保平稳过渡,提案还提出了具体的实施时间表。从2026年3月开始至2029年3月结束,证书有效期将分阶段缩短。具体而言,2026年3月14日前,证书有效期最长仍为398天;至2027年3月14日前,缩短至200天;再到2028年3月14日前,缩短至100天;最终,从2028年3月15日起,证书有效期将不得超过47天。
这一变革无疑将对网络安全领域产生深远影响,推动行业不断提升安全标准和防护能力。
