SSL/TLS證書的有效期一直在縮短。2017年，證書的最大有效期從1185天（約39個月）縮短到825天（約27個月），當(dāng)時人們認(rèn)為這是SSL證書發(fā)展中的一大轉(zhuǎn)變。

而在接下來的幾年里，證書的有效期還在持續(xù)縮短，現(xiàn)在Apple提出將SSL/TLS證書的有效期縮短至45天，說實話還挺“夸張”的。

為什么縮短證書有效期？

1：避免密鑰泄露的風(fēng)險

理論上，證書的生命周期越短，即使密鑰泄露，惡意攻擊者能利用的時間窗口也會更小，不過根本的問題還是要找到泄露的原因，比如服務(wù)器被攻擊了。

2：吊銷復(fù)雜度與成本

另一個經(jīng)常提到的原因是，證書吊銷機制的復(fù)雜性和成本較高。傳統(tǒng)的CRL和OCSP（現(xiàn)在也逐步廢棄了）往往被認(rèn)為效率不夠高，尤其是當(dāng)證書泄露需要緊急吊銷時，整個流程可能會很復(fù)雜。

更深層次的好處其實是算法的發(fā)展，縮短證書有效期最合理的原因是為了應(yīng)對加密算法的進步。因為好的算法更安全，縮短證書有效期可以促使網(wǎng)站更快地采用更新、更安全的加密算法。

但實際操作起來并不容易，新算法需要時間測試，類似這樣的工程大部分組織積極性可能并不高。

其實縮短有效期最不爽的是運維，將帶來巨大的工作量，尤其是那些依賴手動更新證書的組織，雖然現(xiàn)在由ACME這樣的工具自動更新，但普及度并不高，這種高頻次的更新需求可能會成為其運維中的“噩夢”。

目前免費Let's Encrypt證書的有效期是90天，我覺得相對是合適的。

參考：

? https://www.theregister.com/2024/10/15/apples_security_cert_lifespan/

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/