之所以縮短SSL證書有效期 根據(jù)國(guó)外瀏覽器的說(shuō)法是為了保證網(wǎng)站安全性

根據(jù)國(guó)外CA/B論壇最新規(guī)定 ，未來(lái)國(guó)外網(wǎng)站SSL加密證書有效期限定最長(zhǎng)398天，過(guò)期網(wǎng)站會(huì)被瀏覽器拒絕加載提示危險(xiǎn)網(wǎng)站。

至于為何縮短SSL加密證書有效期有業(yè)內(nèi)人士透露：站長(zhǎng)們給網(wǎng)站開通 HTTPS證書就是為了保證網(wǎng)站數(shù)據(jù)傳輸安全，但是開通一次十年或者長(zhǎng)期性不更換公鑰和私鑰很容易被黑產(chǎn)盯上，進(jìn)行網(wǎng)路釣魚欺詐和網(wǎng)站掛馬等網(wǎng)絡(luò)攻擊，但是如果將證書有效期縮短的話，那證書泄露后到期就會(huì)過(guò)期無(wú)法使用，網(wǎng)站也被關(guān)閉，這樣可以減少網(wǎng)站中招的幾率，雖然麻煩點(diǎn)，但是對(duì)于站長(zhǎng)們來(lái)講網(wǎng)站數(shù)據(jù)安全有保證!

為了年費(fèi) 無(wú)其他

為什么SSL證書要設(shè)有效期?

設(shè)置證書有效期對(duì)保護(hù)證書安全性是非常重要的!基于PKI技術(shù)的數(shù)字證書，結(jié)合公鑰加密算法、對(duì)稱加密算法、散列算法等密碼技術(shù)，用于實(shí)現(xiàn)認(rèn)證、加密、簽名等安全功能。隨著全球計(jì)算力的提升，部分老舊的算法(如1024位RSA算法，及SHA-1等簽名算法)已經(jīng)被證明存在安全風(fēng)險(xiǎn)。為SSL證書設(shè)置有效期，便于用戶及時(shí)更新證書，替換使用更為先進(jìn)的加密算法，大大降低安全風(fēng)險(xiǎn)，提升整個(gè)生態(tài)系統(tǒng)的安全性。

沒(méi)有合理設(shè)置SSL證書有效期，可能造成極大的安全威脅。以自簽名SSL證書為例，自簽名SSL證書不受國(guó)際標(biāo)準(zhǔn)制約，可以把有效期設(shè)置為10年甚至20年。很多自簽名證書長(zhǎng)期未更新，仍在使用非常不安全的1024位RSA算法和SHA-1簽名算法。超長(zhǎng)的有效期和脆弱的加密算法，讓黑客擁有足夠的時(shí)間和算力破解證書的加密密鑰，造成嚴(yán)重后果。

此外，設(shè)置有效期的另一個(gè)原因是，CA機(jī)構(gòu)必須重新驗(yàn)證身份信息，這可以確保身份認(rèn)證信息是最新的，并且您仍然擁有為該域名頒發(fā)證書的權(quán)利。因此國(guó)際標(biāo)準(zhǔn)要求公開信任的SSL證書必須限制最長(zhǎng)有效期。

SSL證書過(guò)期了怎么辦？

一般在證書過(guò)期之前就需要提前續(xù)費(fèi)或更換新的證書，以防證書過(guò)期給公司和客戶帶來(lái)不必要的麻煩，因?yàn)樽C書過(guò)期后瀏覽器會(huì)發(fā)出“此網(wǎng)站的安全證書不受信任”的警告，會(huì)影響用戶的體驗(yàn)感，甚至還有數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

首先是為了安全考慮，CA機(jī)構(gòu)不能保證一個(gè)網(wǎng)站永遠(yuǎn)是合法的，因此它需要定期檢查網(wǎng)站。

其次，以往CA證書都非常貴，簽發(fā)證書的機(jī)構(gòu)通過(guò)設(shè)置期限來(lái)收費(fèi)，是一種商業(yè)途徑。

最后，還有最重要的原因就是吊銷。

當(dāng)網(wǎng)站的私鑰丟失時(shí)，網(wǎng)站應(yīng)該向證書頒發(fā)機(jī)構(gòu)（CA）申請(qǐng)將他們的證書加入到證書吊銷列表（CRL）里。當(dāng)用戶訪問(wèn)https站點(diǎn)時(shí)，瀏覽器會(huì)自動(dòng)向CA請(qǐng)求吊銷列表，如果用戶訪問(wèn)的站點(diǎn)提供的證書在CRL里，瀏覽器就不信任這個(gè)證書，因?yàn)楣�擊者可能擁有同樣的證書。所以如果證書永久有效，隨著越來(lái)越多的私鑰丟失，吊銷列表也越來(lái)越大，因?yàn)橹挥屑舆M(jìn)去的，沒(méi)有剔出去的，這既給CA增加流量壓力，也會(huì)增加瀏覽器的流量。而一旦有效期只有幾年，那么CA就可以將那些已經(jīng)過(guò)期了的證書從CRL里剔除，因?yàn)榉凑秊g覽器也不信任過(guò)期證書。

為了安全與風(fēng)控。證書時(shí)間部署太長(zhǎng)不更新會(huì)讓黑俠有破解攻擊的可能，時(shí)間續(xù)期也是安全性能的一部分，有利于后續(xù)的產(chǎn)品加密協(xié)議更新?lián)Q代等。