SSL/TLS證書的有效期一直在縮短。2017年，證書的最大有效期從1185天（約39個(gè)月）縮短到825天（約27個(gè)月），當(dāng)時(shí)人們認(rèn)為這是SSL證書發(fā)展中的一大轉(zhuǎn)變。

而在接下來(lái)的幾年里，證書的有效期還在持續(xù)縮短，現(xiàn)在Apple提出將SSL/TLS證書的有效期縮短至45天，說(shuō)實(shí)話還挺“夸張”的。

為什么縮短證書有效期？

1：避免密鑰泄露的風(fēng)險(xiǎn)

理論上，證書的生命周期越短，即使密鑰泄露，惡意攻擊者能利用的時(shí)間窗口也會(huì)更小，不過(guò)根本的問(wèn)題還是要找到泄露的原因，比如服務(wù)器被攻擊了。

2：吊銷復(fù)雜度與成本

另一個(gè)經(jīng)常提到的原因是，證書吊銷機(jī)制的復(fù)雜性和成本較高。傳統(tǒng)的CRL和OCSP（現(xiàn)在也逐步廢棄了）往往被認(rèn)為效率不夠高，尤其是當(dāng)證書泄露需要緊急吊銷時(shí)，整個(gè)流程可能會(huì)很復(fù)雜。

更深層次的好處其實(shí)是算法的發(fā)展，縮短證書有效期最合理的原因是為了應(yīng)對(duì)加密算法的進(jìn)步。因?yàn)楹玫乃惴ǜ踩?，縮短證書有效期可以促使網(wǎng)站更快地采用更新、更安全的加密算法。

但實(shí)際操作起來(lái)并不容易，新算法需要時(shí)間測(cè)試，類似這樣的工程大部分組織積極性可能并不高。

其實(shí)縮短有效期最不爽的是運(yùn)維，將帶來(lái)巨大的工作量，尤其是那些依賴手動(dòng)更新證書的組織，雖然現(xiàn)在由ACME這樣的工具自動(dòng)更新，但普及度并不高，這種高頻次的更新需求可能會(huì)成為其運(yùn)維中的“噩夢(mèng)”。

目前免費(fèi)Let's Encrypt證書的有效期是90天，我覺得相對(duì)是合適的。

參考：

? https://www.theregister.com/2024/10/15/apples_security_cert_lifespan/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/