文｜三易生活

一覺(jué)醒來(lái)，網(wǎng)站站長(zhǎng)的天可能都要塌了。就在4月12日，CA/B論壇 (負(fù)責(zé)管理SSL/TLS證書(shū)的行業(yè)組織) 的服務(wù)器證書(shū)工作組投票通過(guò)了SC-081v3提案，從2026年3月14日開(kāi)始，SSL/TLS證書(shū)的有效期將會(huì)從目前的398天縮短至47天，SANs（域名/IP）驗(yàn)證數(shù)據(jù)重復(fù)使用期限則會(huì)從398天縮短到10天。

據(jù)悉，《SC-081v3: 引入縮短有效期和數(shù)據(jù)重復(fù)使用期的時(shí)間表》是蘋(píng)果方面在去年秋季向CA/B論壇提交的投票表決草案，其一經(jīng)曝光就引發(fā)了網(wǎng)站站長(zhǎng)的不滿(mǎn)，但掌握話語(yǔ)權(quán)的SSL/TLS行業(yè)組織和瀏覽器廠商都堅(jiān)定站在了蘋(píng)果這邊。此次SC-081v3提案最終的投票結(jié)果，也是29票贊成、5票棄權(quán)、0票反對(duì)。

事實(shí)上，這已經(jīng)不是SSL/TLS證書(shū)的有效期第一次被縮短，它從最初的10年一步步縮減為8年、5年、2年、398天，再到即將落地的47天。那么為什么SSL/TLS證書(shū)的有效期會(huì)不斷變短？這其實(shí)是谷歌Chrome、蘋(píng)果Safari等瀏覽器巨頭在作祟。

相比SSL（安全套接層）和TLS（傳輸層安全）證書(shū)被用于確?；ヂ?lián)網(wǎng)通訊的隱私性和完整性，SSL/TLS證書(shū)主要是用于驗(yàn)證網(wǎng)站的身份，從而確保瀏覽器訪問(wèn)的web服務(wù)器是URL對(duì)應(yīng)的，同時(shí)對(duì)網(wǎng)站和訪問(wèn)者之間的數(shù)據(jù)傳輸加密，保護(hù)數(shù)據(jù)不被未經(jīng)授權(quán)的第三方竊取。

在通過(guò)瀏覽器訪問(wèn)互聯(lián)網(wǎng)的過(guò)程中，用戶(hù)在瀏覽器中輸入網(wǎng)址之后，瀏覽器首先會(huì)檢閱目標(biāo)網(wǎng)站的服務(wù)器里存儲(chǔ)的SSL/TLS證書(shū)、以“驗(yàn)明正身”。比如一個(gè)網(wǎng)站獲得了SSL/TLS證書(shū)，那么其相應(yīng)的URL中就會(huì)顯示HTTPS，以提示該網(wǎng)站是安全的。

一旦出現(xiàn)TLC/SSL證書(shū)無(wú)效，用戶(hù)就會(huì)看到一條警告，聲稱(chēng)連接不是私有的，這也就意味著瀏覽器無(wú)法與網(wǎng)站建立安全的加密連接。由于此時(shí)瀏覽器會(huì)警告用戶(hù)訪問(wèn)該網(wǎng)站存在風(fēng)險(xiǎn)，所以為了安全考量，絕大多數(shù)網(wǎng)民都會(huì)放棄繼續(xù)訪問(wèn)。

對(duì)于網(wǎng)站的站長(zhǎng)來(lái)說(shuō)，如果沒(méi)有TLC/SSL證書(shū)或證書(shū)過(guò)期，也就意味著訪問(wèn)量暴跌，而沒(méi)有訪客則代表網(wǎng)站掛載的廣告沒(méi)有點(diǎn)擊，會(huì)直接影響到收入。所以確保TLC/SSL證書(shū)的有效性，就關(guān)乎網(wǎng)站站長(zhǎng)的收入。

顯而易見(jiàn)，網(wǎng)站站長(zhǎng)自然是希望TLC/SSL證書(shū)的有效期越長(zhǎng)越好，必經(jīng)頻繁申請(qǐng)和更換SSL證書(shū)會(huì)給運(yùn)維帶來(lái)巨大的壓力，人為錯(cuò)誤導(dǎo)致的配置風(fēng)險(xiǎn)也將加劇。其實(shí)不僅僅是網(wǎng)站站長(zhǎng)不希望TLC/SSL證書(shū)的有效期縮短，負(fù)責(zé)簽發(fā)TLC/SSL證書(shū)有效期的數(shù)字證書(shū)認(rèn)證中心（下文將簡(jiǎn)稱(chēng)為CA）同樣也不希望看到這一幕。

由于CA的商業(yè)模式是向網(wǎng)站售賣(mài)TLC/SSL證書(shū)，所以自然是希望可以一次性收取更多的費(fèi)用。并且數(shù)字證書(shū)頒發(fā)本身的技術(shù)門(mén)檻也不高，甚至于可以自行簽發(fā)SSL證書(shū)，這也是為什么CA/B論壇上進(jìn)行投票的CA組織會(huì)高達(dá)30家的原因。

激烈的市場(chǎng)競(jìng)爭(zhēng)環(huán)境，就意味著任何一家CA都希望長(zhǎng)期綁定用戶(hù)，畢竟TLC/SSL證書(shū)只有47天有效期，客戶(hù)到時(shí)候不一定會(huì)續(xù)費(fèi)。然而遺憾的是，相比于瀏覽器，CA處于弱勢(shì)地位，瀏覽器的信任才是任何一家CA存續(xù)的基石。如果與瀏覽器鬧掰了，CA頒發(fā)的證書(shū)就與大家自行簽發(fā)的證書(shū)是一回事了。

那么為何瀏覽器巨頭都想要縮短TLC/SSL證書(shū)的有效期呢？答案是有效期越短，用戶(hù)通過(guò)瀏覽器訪問(wèn)網(wǎng)絡(luò)的安全性就會(huì)越高，所以為了用戶(hù)體驗(yàn)，瀏覽器廠商自然是動(dòng)力十足。盡管TLC/SSL證書(shū)使用了RSA 2048等非對(duì)稱(chēng)加密技術(shù)，但在實(shí)際應(yīng)用中，RSA密鑰可能會(huì)因?yàn)槟承┰虿糠中孤?，而時(shí)間越長(zhǎng)，被破解的風(fēng)險(xiǎn)自然也就越大。

因此縮短TLC/SSL證書(shū)的有效期，就可以讓CA更加頻繁地輪換密鑰，進(jìn)而確保證書(shū)本身的安全性。與此同時(shí)，由于每一次申請(qǐng)TLC/SSL證書(shū)都需要“驗(yàn)明正身”，所以縮短證書(shū)的有效期，就可以使得CA的服務(wù)器更頻繁地對(duì)網(wǎng)站的最新信息進(jìn)行驗(yàn)證，從而確保網(wǎng)站的真實(shí)身份及其安全性。

雖然縮短TLC/SSL證書(shū)的有效期是瀏覽器廠商為了用戶(hù)安全上網(wǎng)做出的努力，但代價(jià)卻是由CA和網(wǎng)站站長(zhǎng)來(lái)承擔(dān)。一旦TLC/SSL證書(shū)的有效期從398天變成47天，網(wǎng)站站長(zhǎng)為了避免因證書(shū)過(guò)期導(dǎo)致流量下降，就需要隔三差五關(guān)注證書(shū)的有效期。

簡(jiǎn)而言之，瀏覽器廠商為了自家產(chǎn)品的用戶(hù)體驗(yàn)，選擇將麻煩丟給CA和網(wǎng)站站長(zhǎng)。本來(lái)如今各大CA之間的競(jìng)爭(zhēng)就足夠激烈，未來(lái)站長(zhǎng)在維護(hù)網(wǎng)站的同時(shí)，恐怕就要更頻繁接到各家CA打來(lái)的推銷(xiāo)電話了。