2024-12-20

重大事件 | 苹果提出将SSL证书有效期缩短至45天

日前，在秋季 CA/浏览器论坛面对面会议的第二天，苹果公司透露在 GitHub 发布了一份征求意见的投票草案，提议从现在到 2027 年逐步将公共 SSL/TLS 证书的最大期限由目前的398天缩短至 45 天。

有效期缩短已成定局，各界需严正以待

实际上，SSL证书的有效期一直在缩短。在过去，SSL证书的有效期曾长达八年，但近年来为了提升互联网安全性，证书的有效期逐步缩短。

2020年，证书的最大有效期已被缩短至13个月。

去年3月份，谷歌曾在其“共同前进”路线图中宣布，将在未来政策更新或 CA/B 论坛投票提案中，将公共 SSL/TLS 证书的最长有效期从 398 天缩短至 90 天。

如今，苹果的新提议将进一步缩短证书的有效期，计划在2025年缩短至200天，2026年缩短至100天，最终在2027年降至45天。

该提案目前已列入讨论日程中。2020年谷歌、苹果和LE共同提议把SSL证书有效期从当时的825天(2年3个月)缩短为现在的398天(1年1个月)，当时CA/浏览器论坛投票结果是未通过。

但苹果单方面决定只信任一年期证书，导致大量浏览器跟进，实现了SSL证书有效期缩短至了1年。所以这次苹果提议缩短到45天有效期的提议虽仍在讨论阶段，但也为行业趋势发展释放出了强烈信号，相当多行业从业者相信，SSL证书有效期缩短至45天必定得到执行。

AppleMusic证书过期业务中断

回旋镖来得很快。11月10日，众多网友发现进入Music音乐服务时，发现“此服务器的证书无效。你可能正在连接到一个伪装成“play.itunes.apple.com”的服务器，这会威胁到你的机密信息的安全。”弹窗提示，导致该音乐服务无法正常使用，而造成此次服务中断的原因便是SSL证书过期。

（图源：网络）

据悉，Music音乐服务采用的是分区解析，不同区域用户解析到不同服务器，不同服务器又部署了不同的SSL证书。而此次受影响的主要是国内部分用户，因为其服务器的SSL证书已于凌晨到期，导致服务器被检测成了不安全的服务器，被禁止使用。

证书过期服务中断事件层出不穷

近年来因SSL证书过期导致业务中断并不是什么新鲜事。

根据Keyfactor和Ponemon Institute的《2023年机器身份管理现状》报告，超过77%的受访企业在过去24个月中至少经历过两次因证书过期而导致的“重大”中断，大型企业、政府机构、跨国组织等都出现过因SSL证书过期导致的服务中断。

2024年11月，Apple Music因证书过期导致国内用户无法使用；

2024年4月，国际信息系统安全认证联盟ISC2官网因SSL证书过期无法正常访问；

2024年4月，某宝网站因为SSL证书过期，出现“此连接非私人连接”提示无法正常访问；

2020年5月，特斯拉汽车因证书过期出现大面积宕机；

2020年2月，因为SSL证书过期，微软协同办公软件Team在全球范围内宕机瘫痪；

2019年初，美国80个政府网站因SSL证书过期，导致公众无法正常访问。

有效期进一步缩短，应提前做好准备

SSL证书最长有效期几经变更，从3年、2年、398天，到谷歌提议缩减至90天，苹果Apple更是提议逐步将SSL证书有效期缩短至45天。这意味着网站所有者将更加频繁的更换实现HTTPS的SSL证书，也意味着可能因SSL证书过期导致的服务中断风险将加剧。

虽然SSL证书有效期缩短是为了进一步提升HTTPS加密安全，并为过渡到抗量子算法提前做好准备，但还是增加了我国广大企业网站的安全风险和管理成本。

众所周知，网站申请和安装SSL证书有一套固定、繁琐的流程，一旦因安装或续费不及时而导致证书过期，很容易造成网站数据被监听、篡改和泄露，严重者可能还会导致企业的各种业务意外中断，网站无法正常运营，造成巨大的经济损失。

45天的SSL证书有效期，代表着对于拥有大量证书的企业及网站所有者来说，人工申请和部署SSL证书的传统方案将不太现实，自动化证书管理将成为未来企业常态。

天威诚信TLS证书全生命周期管理

作为可信的网络安全认证服务运营商，天威诚信在为国内企业提供各大主流厂商SSL证书产品的同时，也在根据国际规则变化和用户实际需求，持续优化SSL证书申请和全生命周期管理服务，为用户提供完整可信合规的SSL证书自动化管理解决方案。

证书全生命周期管理：依托于DigiCert Trust Lifecycle Manager 的证书生命周期管理方案，能帮助提供证书发现、管理和自动化服务以防止业务中断，方法是减少服务中断、漏洞或恶意活动造成的业务风险，简化操作及减少人为错误，以及提高对行业威胁和网络安全标准变化的响应敏捷性。

PKl服务：Trust Lifecycle Manager 的 PKI 服务提供 ICA 和私有 PKl 颁发，用于管理用户、服务器、设备及其他 IT 资源的身份和身份验证，具有灵活性和自动化功能，可优化T预配需求，提高采用率、生产率和安全性。

天威诚信是DigiCert认证的白金精英合作伙伴。20多年来，双方在合作过程中积累了丰富的行业最佳实践，基于双方共同打造的完善的联合服务机制，天威诚信累计服务于阿里巴巴、百度、腾讯、京东、联想、金山、中行、工行、建行等全行业超95%的大客户，覆盖超10亿网民。

▼

基于此解决方案，企业可全面监督组织内的各种证书和PKI需求，实现可见性和控制的集中化，获得已颁发证书和网络安全资产的统一、全面化视图，实现颁发和管理之间无缝操作，降低风险、简化操作，防止业务中断。可自动化管理 SSL 证书生命周期每一阶段，降低证书管理技术门槛，使网站安全管理工作更加轻松。这样一来，45天新政也并不可怕。

此次SSL证书45天有效期的信号趋势，对于政府网站、银行网站、大型企业及所有关键信息系统运营单位必须提前准备，未雨绸缪，才能不至于被动应对，及时防止因SSL证书到期而影响到关键业务进程及重要信息系统的运行。

下一篇：DigiCert 2025年度安全预测：人工智能、量子和信任将以10种方式塑造新的一年

重大事件 | 苹果提出将SSL证书有效期缩短至45天

相关新闻