为什么SSL证书不能长期有效

关注SSL证书的朋友应该都知道SSL证书的有效期一直在缩短，从2018年3月1日起，SSL证书最长期限设置为825天，这一新规延续了不到两年，就在2020年2月苹果在CA/B论坛的会议上宣布，将不再信任2020年9月1日之后签发的有效期超过398天的SSL证书。随后，谷歌、火狐等浏览器厂商也表示遵循这一原则。

因此，各大证书颁发机构也纷纷宣布，2020年9月1日开始，将不再签发有效期超过398天的证书，证书的最长有效期将缩短为13个月。那么问题来了，为什么SSL证书不能长期有效呢？主要有以下几个原因：

1）不能保证一个合法网站永远不会成为一个钓鱼站点

2）永久有效的证书导致CRL不断增加，会增加浏览器的请求流量压力

3）有效期对保护证书安全性是基于PKI技术的数字证书，结合公钥加密算法、对称加密算法、散列算法等密码技术，用于实现认证、加密、签名等安全功能。

4）没有合理设置SSL证书有效期，会造成极大的安全威胁。自签名SSL证书为例，自签名SSL证书不受国际标准制约，可以把有效期设置为10年甚至20年。自签名证书长期未更新，仍在使用非常不安全的1024位RSA算法和SHA-1签名算法。超长的有效期和脆弱的加密算法，让黑客拥有足够的时间和算力破解证书的加密密钥，造成严重后果。

5）CA机构必须重新验证身份信息，确保身份认证信息是最新的，并仍然拥有该域名。