CA/B会议上有人提议SSL证书有效期缩短至90天

最近，在CA/B论坛会议上，Google的Chrome团队分享了他们对与SSL/TLS证书相关的新政策的愿景。他们建议这些证书的有效期为90天，这意味着证书需要每90天更新一次。该提案并不是立即改变，但它引发了一场关于在未来缩短证书寿命的讨论。

缩短证书生命周期已成为一种日益增长的趋势，而且不仅仅是谷歌在推动这一趋势。多年来，SSL证书的有效期已从三年变为两年，现在大多数证书的有效期为一年。

请继续关注此博客，我们将深入探讨有关90天有效期及其对SSL管理的潜在影响的讨论。

较短有效期背后的逻辑：
过去，公司（OEM）更喜欢较短的证书生命周期，因为它们使事情更安全并帮助他们更快地更新。为此，他们允许客户通过API拥有灵活的证书生命周期。

我们还注意到Chrome在其根策略通知中鼓励缩短证书生命周期。它很棒，因为它促进了自动化以及加速证书颁发和增强安全性的实践的采用。当我们缩短证书的生命周期时，我们可以迅速采用新的安全措施和最佳实践，包括为未来的变化做好准备，例如抗量子算法。

我们观察到的另一个优点是，寿命较短的证书减少了我们对效率较低的吊销检查方法的依赖，为我们提供了更好的保护。此外，它们还有助于最大限度地减少证书透明度日志的任何意外问题的影响。

最后，我们坚信，较短的证书生命周期可以为我们的安全性和证书生态系统的整体效率带来显着的好处。

寻找最佳有效期：90天是否理想？
将证书有效期缩短至90天可能无法有效解决证书被泄露的问题。这是因为行业中改进安全策略的过程通常需要6到12个月的时间，这使得证书的生命周期不再是一个延迟因素。

此外，域名注册通常为一年，而不是每90天一次。因此，转向90天证书可能不是使WebPKI更加敏捷的最佳解决方案。

相反，让我们探索替代方法来促进自动化并在需要时快速替换证书，这是这里的最终目标。我们很高兴讨论激励和鼓励此类做法以提高安全性的方法。

评估缩短有效期的影响
较短的证书有效期可能会引起安全问题，但也会带来重大挑战。切换到90天证书对于公司来说将是一个重大调整，并且管理证书生命周期将变得更加复杂。随着证书生命周期的缩短，使用电子表格和通知跟踪证书的传统方法变得不切实际。手动跟踪是劳动密集型的，并且容易出错，尤其是在大规模情况下。

证书管理不善可能会导致中断，从而造成高昂的代价。研究表明，证书中断或审核失败可能导致超过1000万美元的经济损失，数据泄露平均造成940万美元的损失。此类事件还会削弱客户的信任，导致潜在的客户流失。为了避免这些风险，无论证书有效期是否缩短至90天，托管解决方案和自动化预计将成为行业规范。自动化可以帮助处理不断增加的工作量，并最大限度地减少人为错误导致停机的可能性。

对自动化管理解决方案的需求
我们始终致力于创新解决方案，以使我们的客户保持领先地位。随着证书生命周期的缩短和威胁的演变，我们已准备好提供答案。

例如，当行业转向一年期证书时，我们在网站上引入了多年计划。这种自动续订期限长达六年，省去了每年续订的麻烦，并锁定了价格折扣。

我们的最新产品DigiCert®TrustLifecycleManager是一个全面的解决方案。它集成了公共和私人信任的与CA无关的证书管理以及PKI服务。这意味着集中可见性、增强的安全性以及符合行业标准。

与其他解决方案不同，DigiCert®TrustLifecycleManager不仅涵盖证书生命周期管理(CLM)，还涵盖PKI服务。这包括管理私有PKI发行、用户、设备和服务器的证书，以及最终实体和第三方应用程序的无缝集成。我们已经涵盖了这一切！

结论：
该行业致力于通过缩短证书有效期来增强在线安全性。虽然关于90天有效期的讨论仍在继续，但主要目标是在安全性和实用性之间取得平衡。

为了防止因证书管理不善而造成代价高昂的中断和违规，有效的证书生命周期管理至关重要。我们提供多年计划和DigiCert®TrustLifecycleManager，使企业能够自信地管理不断变化的证书生命周期，并确保不断发展的数字环境中的安全。