为什么SSL证书不能长期有效
2021年2月18日
关注SSL证书的朋友应该都知道SSL证书的有效期一直在缩短,从2018年3月1日起,SSL证书最长期限设置为825天,这一新规延续了不到两年,就在2020年2月苹果在CA/B论坛的会议上宣布,将不再信任2020年9月1日之后签发的有效期超过398天的SSL证书。随后,谷歌、火狐等浏览器厂商也表示遵循这一原则。
因此,各大证书颁发机构也纷纷宣布,2020年9月1日开始,将不再签发有效期超过398天的证书,证书的最长有效期将缩短为13个月。那么问题来了,为什么SSL证书不能长期有效呢?主要有以下几个原因:
1)不能保证一个合法网站永远不会成为一个钓鱼站点
2)永久有效的证书导致CRL不断增加,会增加浏览器的请求流量压力
3)有效期对保护证书安全性是基于PKI技术的数字证书,结合公钥加密算法、对称加密算法、散列算法等密码技术,用于实现认证、加密、签名等安全功能。
4)没有合理设置SSL证书有效期,会造成极大的安全威胁。自签名SSL证书为例,自签名SSL证书不受国际标准制约,可以把有效期设置为10年甚至20年。自签名证书长期未更新,仍在使用非常不安全的1024位RSA算法和SHA-1签名算法。超长的有效期和脆弱的加密算法,让黑客拥有足够的时间和算力破解证书的加密密钥,造成严重后果。
5)CA机构必须重新验证身份信息,确保身份认证信息是最新的,并仍然拥有该域名。