一觉醒来,网站站长的天可能都要塌了。就在4月12日,CA/B论坛 (负责管理SSL/TLS证书的行业组织) 的服务器证书工作组投票通过了SC-081v3提案,从2026年3月14日开始,SSL/TLS证书的有效期将会从目前的398天缩短至47天,SANs(域名/IP)验证数据重复使用期限则会从398天缩短到10天。
据悉,《SC-081v3: 引入缩短有效期和数据重复使用期的时间表》是苹果方面在去年秋季向CA/B论坛提交的投票表决草案,其一经曝光就引发了网站站长的不满,但掌握话语权的SSL/TLS行业组织和浏览器厂商都坚定站在了苹果这边。此次SC-081v3提案最终的投票结果,也是29票赞成、5票弃权、0票反对。
事实上,这已经不是SSL/TLS证书的有效期第一次被缩短,它从最初的10年一步步缩减为8年、5年、2年、398天,再到即将落地的47天。那么为什么SSL/TLS证书的有效期会不断变短?这其实是谷歌Chrome、苹果Safari等浏览器巨头在作祟。
相比SSL(安全套接层)和TLS(传输层安全)证书被用于确保互联网通讯的隐私性和完整性,SSL/TLS证书主要是用于验证网站的身份,从而确保浏览器访问的web服务器是URL对应的,同时对网站和访问者之间的数据传输加密,保护数据不被未经授权的第三方窃取。
在通过浏览器访问互联网的过程中,用户在浏览器中输入网址之后,浏览器首先会检阅目标网站的服务器里存储的SSL/TLS证书、以“验明正身”。比如一个网站获得了SSL/TLS证书,那么其相应的URL中就会显示HTTPS,以提示该网站是安全的。
一旦出现TLC/SSL证书无效,用户就会看到一条警告,声称连接不是私有的,这也就意味着浏览器无法与网站建立安全的加密连接。由于此时浏览器会警告用户访问该网站存在风险,所以为了安全考量,绝大多数网民都会放弃继续访问。
对于网站的站长来说,如果没有TLC/SSL证书或证书过期,也就意味着访问量暴跌,而没有访客则代表网站挂载的广告没有点击,会直接影响到收入。所以确保TLC/SSL证书的有效性,就关乎网站站长的收入。
显而易见,网站站长自然是希望TLC/SSL证书的有效期越长越好,必经频繁申请和更换SSL证书会给运维带来巨大的压力,人为错误导致的配置风险也将加剧。其实不仅仅是网站站长不希望TLC/SSL证书的有效期缩短,负责签发TLC/SSL证书有效期的数字证书认证中心(下文将简称为CA)同样也不希望看到这一幕。
由于CA的商业模式是向网站售卖TLC/SSL证书,所以自然是希望可以一次性收取更多的费用。并且数字证书颁发本身的技术门槛也不高,甚至于可以自行签发SSL证书,这也是为什么CA/B论坛上进行投票的CA组织会高达30家的原因。
激烈的市场竞争环境,就意味着任何一家CA都希望长期绑定用户,毕竟TLC/SSL证书只有47天有效期,客户到时候不一定会续费。然而遗憾的是,相比于浏览器,CA处于弱势地位,浏览器的信任才是任何一家CA存续的基石。如果与浏览器闹掰了,CA颁发的证书就与大家自行签发的证书是一回事了。
那么为何浏览器巨头都想要缩短TLC/SSL证书的有效期呢?答案是有效期越短,用户通过浏览器访问网络的安全性就会越高,所以为了用户体验,浏览器厂商自然是动力十足。尽管TLC/SSL证书使用了RSA 2048等非对称加密技术,但在实际应用中,RSA密钥可能会因为某些原因部分泄露,而时间越长,被破解的风险自然也就越大。
因此缩短TLC/SSL证书的有效期,就可以让CA更加频繁地轮换密钥,进而确保证书本身的安全性。与此同时,由于每一次申请TLC/SSL证书都需要“验明正身”,所以缩短证书的有效期,就可以使得CA的服务器更频繁地对网站的最新信息进行验证,从而确保网站的真实身份及其安全性。
虽然缩短TLC/SSL证书的有效期是浏览器厂商为了用户安全上网做出的努力,但代价却是由CA和网站站长来承担。一旦TLC/SSL证书的有效期从398天变成47天,网站站长为了避免因证书过期导致流量下降,就需要隔三差五关注证书的有效期。
简而言之,浏览器厂商为了自家产品的用户体验,选择将麻烦丢给CA和网站站长。本来如今各大CA之间的竞争就足够激烈,未来站长在维护网站的同时,恐怕就要更频繁接到各家CA打来的推销电话了。
