为什么各大云服务大厂 SSL 证书有效期都缩短到了 90 天？

最近明月发现很多人都在抱怨国内各大厂云的免费SSL 证书有效期都缩短到了 90 天这个话题，有些人还说这是大厂割韭菜的行为。虽然明月一直都认为国内大厂云一直都在玩儿各种割韭菜的花招，但说到这个SSL 证书有效期90 天的话还真是有点儿冤枉大厂云们了。SSL 证书在诞生之初其实并没有限制有效期，但后来随着 SSL 证书使用得越来越多，2005 年 5 月 17 日由 VeriSign 和 Comodo 牵头成立国际标准组织CA/浏览器论坛，出台了一系列 SSL 证书标准，SSL 证书有效期开始缩短。

在这个论坛上，苹果等主流浏览器厂商多次提出了要继续缩短 SSL 证书的有效期至一年甚至更短，CA 机构（数字证书认证机构，负责发放和管理数字证书的权威机构）则进行抵制，两方来回拉扯。

截图来自谷歌Moving Forward, Together

直到 2023 年 3 月 3 日，谷歌发布了一个重磅话题讨论——Moving Forward,Together（“共同前进”路线图），宣布计划将浏览器中 TLS 服务器身份验证证书有效期缩短至90 天。也就是说，谷歌如果在未来哪一天正式实施了这个计划，那么任何有效期超过 90 天的新网站证书都不会受到谷歌浏览器的信任，用户浏览网站的时候会显示网站不安全。

由于谷歌浏览器的市场影响力实在太大了，很多 CA 机构都跟着作出相应调整，所以从去年开始，大家就陆续收到各个 CA 机构、云厂商调整免费证书有效期的通知，比如：腾讯云的免费证书也在 2024 年 4 月 25 日将有效期从 12 个月调整为 3 个月。

为什么要缩短 SSL 证书的有效期呢？

谷歌在Moving Forward,Together里有提到，希望能由此鼓励证书自动化，推动HTTPS 生态系统摆脱“巴洛克式”（巴洛克式是一种艺术风格，巴洛克的本意就是不规则的，不常规的意思）、耗时且容易出错的颁发流程，降低人力成本和工作难度规避人为失误导致的事故。

另一方面，有效期缩短后，用户需要不断续订，每次续订都会推动证书颁发机构再次验证最新的用户身份信息；而且 SSL 证书的加密算法不断发展，续订的证书可以采用最新的算法并进行密钥轮换。这些都让证书更加安全、可信。

随着 SSL 证书有效期的缩短至 90 天，许多人可能会感到维护管理网站的难度有所增加。但不可否认的是，这一措施在提高整个互联网的安全标准方面发挥了关键作用。事实上，我们都需要逐步适应这一变化。缩短证书有效期不仅能显著降低因证书泄露或被盗用而带来的风险，还能促使网站更快地响应新兴的安全威胁，并迅速部署最新的安全功能。

对于管理着大量网站的组织而言，更短的证书有效期实际上有助于降低整体的证书管理成本。随着自动化工具和服务的日益成熟，管理证书生命周期已成为一种高效且可靠的趋势。现代的 SSH 证书自动化工具不断进步，使得提前制定策略、管理与监控证书变得更加容易。

对于运维人员来说，虽然任务可能变得更加频繁，但通过自动化和策略制定，维护网站的持续安全和信任并非难事。毕竟，没有什么比保护用户数据和确保在线交易的安全更为重要。通过积极采用这些工具和最佳实践，我们可以确保在数字时代中，我们的网站始终保持最高标准的安全性和可靠性。

本文转载自：明月登楼博客