CA/B Forum: SSL证书最长有效期最终被定为两年

这项新规将在2018年实施......

随着CAB Forum第193号投票的通过，SSL行业将拥有更新更短的最长SSL证书有效期。

作为SSL行业的风向标，CAB Forum制定过许多行业规则，及规范SSL证书。其成员由证书颁发机构、浏览器厂商组成。CAB论坛第193号投票（由Entrust提出）将对所有公开信任的SSL证书的最大生命周期设置新限制。新的证书有效期为825天——即两年有效期，包括更新和更换部分填充内置——将从2018年3月1日起生效。

当今SSL证书的最大有效期为3年（确切地说是39个月），而CA将继续签发该生命周期证书直到新规生效。这项规定将影响所有的SSL证书类型以及有关机构（CA及其用户）。那些依靠超长有效期证书的网站在2018年3月前仍能继续申请，也就是说这张3年有效期证书可以保障他们的网站安全直至2020年。而到那时，再申请的证书将会被两年制所替代，且最长有效期可能会随着政策的改变逐年缩短。

长期使用的证书为行业带来了问题，因为它们对变化设置了一个长期的下限。 例如，今天要更改的任何投票或规章在所有现有证书过期的39个月内不会完全生效。 虽然长期证书允许个人用户花费更少的时间重新安装证书，但它为生态系统造成了太多的问题。

上个月，谷歌提议将证书有效期缩短到13个月，被其他CA和浏览器厂商无情拒绝。大家都嫌谷歌太激进，不留情面。但同时，大家又都想缩短有效期。于是，193号提案在此后被提出。

Google最近表示，他们对更短的证书最长有效期感兴趣，因为他们提出了许多安全问题。当其投票失败时，Google代表Ryan Sleevi建议Google可以使用其他方式来减少有效期。作为浏览器厂商，Google大可在Chrome中信任的证书设置要求。

虽然这些规则不适用于任何其他浏览器，但在实践中，如果Google的要求比CAB论坛设置的更严格，则Google的要求将成为新的标准。因为SSL证书需要在所有主流浏览器中都有效，想要被认为有用，CA不得不遵守。

Sleevi最近没有发表关于创建这样的要求的任何声明，并且其他浏览器反对13个月的证书，谷歌可能不太可能制定行业不同意的政策。

无论Google是否采取单边行动，SSL行业将继续寻求缩短证书寿命。虽然这些变化会缓慢地发生，但所有证书用户都应该为未来做好准备，及时更新和更换证书。