OSSEZ

 找回密码
 新用户

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 322|回复: 0

三年有效期SSL证书将于2018年3月1日下架

[复制链接]
 楼主| 发表于 2018-3-17 03:41:13 | 显示全部楼层 |阅读模式
.....过了这村,你就只买得到两年证书了......

自2018年3月1日起,三年期SSL证书将无法购置。该变化是由证书颁发机构和浏览器厂商论坛CAB Forum制定的。

如果你用了很久的SSL证书,你或许知道以前还有五年期证书。然而随着互联网的发展和加密方式的变迁,每五年换一次证书会让你的网站在各种新型攻击下变得脆弱不堪。

于是为了用户安全,浏览器厂商不断地压缩证书有效期的周期。更新证书是很有必要的,它不仅保证了您的安全实施是最新的,还告诉CA们您的网站仍值得信赖。

虽然缩短证书有效期怎么看都像是CA想让客户多花钱,但成天想着把周期压到90天的却是谷歌。但无论何时,经常性地替换证书从保障安全的角度来说永远都是最重要的。

试想五年前,我们用的密钥套件是哪一款?SHA-1啊!一款被吐槽了N年的不安全的密钥套件。虽说现在所有老证书都不得不由于SHA-1的原因重新签发,但这正应证了本文的观点——越旧的证书越没保障。

需要重现签发证书的另一个原因是CA必须重新验证你。这可以确保您的信息是最新的,并且您仍然有权为您的域名颁发证书。 请记住,浏览器正在向用户表明他们可以信任与您的网站的连接,因为您已经受到可信第三方的审查。 就像驾驶执照一样,您偶尔也必须与第三方办理登机手续,以确保所有内容都是最新的。

所以,从3月1日开始,两年是您使用任何SSL证书所能获得的最长使用期限。 这一改变不影响EV证书,因为介于EV SSL收到的信任级别(唯一的绿色指标),两年本就是其最高年限。

具体的办法如下:

如果您的SSL证书在2018年3月1日前签发,您的证书有效期将不受影响
所有2018年3月1日之后签发的证书,最高有效期仅2年(825天)
DV和OV证书只能用825天
过了825天,CA 要重新对你进行验证。而且这也是追溯性的,所以无论你现在的证书是多么旧,它都是在825天内计算的。 由于日期将近,验证过程中涉及的时间可能有所增加,因为CA将被迫更频繁地重新验证。

什么情况下需要重新签发证书呢?
给证书添加新域名的时候
给证书移除老域名的时候
给证书换一个域名的时候
更改组织信息的时候
证书发重的时候
如果您正计划在接下来的三年里做以上的调整,换一张两年期证书并及早更新它即可。

最后,CAB论坛还有一些关于删除某些域名控制验证方法(如Whois查询)的喋喋不休的问题。有兴趣的读者可戳https://cabforum.org/ 查看。
您需要登录后才可以回帖 登录 | 新用户

本版积分规则

关闭

站长推荐上一条 /1 下一条

QQ|手机版|小黑屋|Archiver|帮助|OSSEZ (North Tecom)  

GMT+8, 2019-10-20 01:49

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表