上周憑證產業論壇CA/Browser Forum(CA/B論壇)做出決議,所有SSL/TLS憑證最長效期將由現行398天縮短9成,到2029年剩47天,且每月需更新一次。
CA/B論壇眾家會員廠商於4月11日完成投票,通過蘋果提案的Ballot SC-081v3。4家憑證使用者端(瀏覽器業者)包括蘋果、Google、Mozilla、微軟皆贊成。29家憑證頒發(Issuer)業者24票贊成、5票棄權,無人反對。
現行所有SSL/TLS憑證最長效期為398天,2020年蘋果推動且獲得Google及Mozilla支持,由三大瀏覽器業者推動最長效期由825天減為現行時效,主因是長效期的憑證可能落入駭客手中,助長惡意程式散布。
在最新決議下,CA/B論壇未來將分階段縮短憑證效期。2026年3月15日起,SSL/TLS憑證最長效期會縮短到200天,更新期將改為6個月更新一次。而網域控制驗證(Domain Control Validation,DCV)重覆使用期限也減到200天。2027年3月15日起,憑證最長效期會再短100天,3個月更新一次,DCV重覆使用期限同步減為100天。4年後,即2029年3月15日,最長SSL/TLS憑證效期就會減至47天,每個月更新一次,DCV重覆使用期限將只剩10天。
圖片來源/Sectigo
同樣投下贊成票的憑證管理方案業者Sectigo指出,縮減數位憑證將可提升線上安全、推動憑證數位化管理,並且藉由提升密碼學靈活性,以因應量子運算挑戰。
