作者:Dean Coclin 高级总监,数字信任专家 | DigiCert
来源:微信公众号 DigiCert_BJoffice
著作权归作者所有。商业转载请联系作者进行授权,非商业转载请注明出处。
2024年8月,苹果公司提议修改CA/浏览器论坛服务器证书工作组的TLS服务器证书基线要求。该提议概述
了大幅缩短TLS证书有效期以及用于验证证书内信息的重用期的时间表。
这样的提议被称为“提案”,自其被提出以来,这一提案引发了大量讨论。该提案可能会随着讨论的继续而发
生变化,但以下是我们迄今为止所了解到的情况。
提案内容
苹果公司提议的变化将在未来几年逐步实施,既缩短证书的有效期也缩短验证重用期。以下是这些变化的详
细信息。
TLS证书有效期的缩短
目前TLS证书的最长有效期为398天。
◆ 自2026年3月15日起:有效期不应超过199天,并不得超过200天。
◆ 自2027年3月15日起:有效期不应超过99天,并不得超过100天。
◆ 自2029年3月15日起:有效期不应超过46天,并不得超过47天。
验证重用期限制
验证重用期是指用于颁发证书的信息(包括组织身份和域名所有权)可被视为有效的期限。
◆ 使用者身份信息(OV与EV证书)
◇ 目前:验证重用期最长为825天。
◇ 自2026年3月15日起:最长重用期缩短至398天。
这会影响组织验证(OV)和扩展验证(EV)证书,这类证书的组织详细信息必须被更频繁地重新验证。
◆ 域名与IP地址验证
◇ 目前:重用期最长为398天。
◇ 自2026年3月15日起:重用期不得超过200天。
◇ 自2027年3月15日起:重用期不得超过100天。
◇ 自2029年3月15日起:重用期不得超过10天。
这对证书所有者而言意味着什么
给证书所有者的信息很明确:要立即开始为您的证书生命周期管理实现自动化。随着这些最新时间框架的
生效,手动流程将不可持续,而且几乎肯定会导致停机。
若要保持领先,您的组织应该优先考虑实现以下领域的自动化:
◆证书请求
◆使用者可选名称(通常是域名)的验证
◆证书安装,以确保相关系统的可用性
DigiCert ONE平台提供所有这些开箱即用的功能并支持ACME协议,即使在复杂的环境中也能简化自动化
DigiCert® Trust Lifecycle Manager提供对证书使用、失效日期和CA分布的实时洞察,帮助您大规模管理数字信任。
现在正是做准备的时候
苹果公司提案中最引人注目的变化之一是DNS和IP验证的最长重用期缩短。虽然到2029年该提议的证书有
效期会降至47天,但DNS/IP验证的重用期将被限制在10天内,这是一个更为严格的时间窗口。
2029年听起来可能很遥远,但这些变化要求组织对管理证书的方式做出重大改变。现在正是开始为证书生
命周期管理的各个方面实现自动化的时机,这样贵组织就能为此做好准备。
如果该提案被通过,这些缩短的有效期将成为DigiCert和所有其他公共证书颁发机构(CA)的强制性要
求。但我们在此提供帮助——现在就与我们联系,开始根据您的需求量身定制解决方案。
数字信任的最新进展
想了解有关自动化、合规性和证书管理等话题的更多信息吗?请订阅DigiCert博客,以确保您永远不会错过
任何信息。