SSL/TLS加密協(xié)議是目前互聯(lián)網(wǎng)上最重要的基礎(chǔ)設(shè)施之一 , 若沒有數(shù)據(jù)加密的話或許互聯(lián)網(wǎng)的發(fā)展也不會這么快。數(shù)據(jù)加密目前最常見的就是HTTPS傳輸層安全協(xié)議，通過SSL/TLS數(shù)字證書確保使用者與發(fā)送者的信息不被竊取。

　　數(shù)字證書最初有效期長達10年，不過在過去10年里數(shù)字證書的有效期已經(jīng)被大幅縮短 , 從8年降到5年再到2年等。

　　而從2020年9月1日起數(shù)字證書的有效期最長只能398天(13個月) , 為什么數(shù)字證書的有效期會被不斷地進行縮短?

　　新簽發(fā)證書有效期最長398天：

　　按頒發(fā)機構(gòu)/瀏覽器論壇討論后的最新規(guī)定 , 從 9月1日 起新簽發(fā)的數(shù)字證書有效期最長不得超過398天即13個月。

　　如果證書起始日期超過這個規(guī)定的話則瀏覽器不會信任，瀏覽器不信任的結(jié)果就是直接拒絕網(wǎng)頁加載無法瀏覽等。

　　例如超過日期的證書在谷歌瀏覽器上顯示ERR_CERT_VALIDITY_TOO_LONG 錯誤，這說明證書有效期超過限制。

　　谷歌瀏覽器將這種錯誤視為是證書簽發(fā)錯誤即無效的數(shù)字證書，當(dāng)然谷歌瀏覽器也會拒絕加載不允許用戶瀏覽等。

　　每次頒發(fā)機構(gòu)和瀏覽器論壇討論降低證書有效期都是基于安全考慮的，實際上這些多數(shù)都是瀏覽器開發(fā)商提出的。

　　就目前來說瀏覽器開發(fā)商們更強勢因此證書頒發(fā)機構(gòu)基本只能聽著，頒發(fā)機構(gòu)們其實更希望能夠簽發(fā)更長的證書。

　　證書時間長短與安全性有何關(guān)系：

　　頒發(fā)機構(gòu)們希望簽發(fā)更長的證書是因為可以一次性收更多的費用，畢竟如果是一年的話到期客戶不一定繼續(xù)續(xù)費。

　　但瀏覽器開發(fā)商們擔(dān)心數(shù)字證書遭到泄露和濫用，如果證書公鑰和私鑰泄露的話可能會造成釣魚欺詐等網(wǎng)絡(luò)攻擊。

　　如果將證書有效期縮短的話那么證書泄露后到期就會過期無法使用，如果是十年的證書那十年才過期實在太長了。

　　當(dāng)然證書有效期縮短意味著網(wǎng)站維護者需要更頻繁的更換證書，事實上現(xiàn)在每年都有因為證書過期導(dǎo)致的宕機等。

　　比如Microsoft Teams前段時間就因為忘記續(xù)期證書導(dǎo)致大量用戶無法登錄，光大銀行網(wǎng)銀前幾天也過期忘記換。

　　善用證書吊銷工具會更好：

　　比起縮短證書有效期其實更重要的是善用吊銷工具，通常發(fā)現(xiàn)證書泄露后應(yīng)該立即聯(lián)系頒發(fā)機構(gòu)對證書進行吊銷。

　　吊銷后所有瀏覽器和操作系統(tǒng)只要聯(lián)網(wǎng)就會立即不信任被吊銷的證書，這種情況比證書泄露后慢慢等過期更好些。

　　當(dāng)然前提是你得知道自己的證書泄露才能去吊銷，可能更多的是證書被盜仍然不知情于是也不太可能去主動吊銷。

　　此前國內(nèi)就有家知名公司被人冒名刻章申請數(shù)字證書，申請的數(shù)字證書用來簽發(fā)惡意軟件和病毒進行網(wǎng)絡(luò)攻擊等。

　　因此除縮短證書時間、加強證書安全保護和善用吊銷工具外，對證書頒發(fā)機構(gòu)本身也需要加強監(jiān)管才能安全無虞。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。