資安新聞:SSL/TLS 憑證效期愈來愈短,每月更新一次的時代即將來臨
 |  | 1 |  |
有在管理對外網站的朋友,應該都有發現網站憑證的有效期限愈來愈短! 早年申請一次 SSL/TLS 憑證可以用兩年,不知何時起變成只能用一年,每年都要重新申請更新。
那麼,再告訴大家一個他 X 的好消息,CA/Browser Forum (CA/B 論壇) 於上個月做出最新決議,SSL/TLS 憑證最長效期將由現行 398 天分階段縮短,到 2029 年將只剩 47 天,幾乎每月都要更新一次,將網站安全推升到前所未有的高度。參考:SSL/TLS 憑證最長效期 2029 年將縮減成 47 天 by iThome
CA/B 論壇會員於今年 4 月 11 日投票通過蘋果提案的 Ballot SC-081v3,計劃分階段縮短憑證效期及網域控制驗證 (Domain Control Validation,DCV) 重複使用期限。
註:Domain Control Validation (DCV,網域控制驗證)是憑證機構 CA 發行 SSL/TLS 憑證前要求申請者證明其所屬網域具有控制權的驗證程序。目前常用做法包含 DNS 加入指定的 TXT 或 CNAME 記錄、寄信給網域指定信箱(如 webmaster@your-domain.com)要求回覆、HTTP 檔案驗證等。
| 生效日期 | 憑證最長效期 | 憑證更新頻率 | DCV 重覆使用期限 |
|---|---|---|---|
| 現行 | 398 天 | 一年 | 398 天 |
| 2026-03-15 | 200 天 | 6 個月 | 200 天 |
| 2027-03-15 | 100 天 | 3 個月 | 100 天 |
| 2029-03-15 | 47 天 | 1 個月 | 10 天 |
圖片來源:Industry to Shift to 47-Day SSL/TLS Certificate Validity by 2029
投票結果中,4 家憑證使用者端(瀏覽器業者)包括蘋果、Google、Mozilla、微軟皆贊成,29 家憑證頒發(Issuer)業者則是 24 票贊成(喜迎銷售量成長 12 倍?噗)、5 票棄權,無人反對,壓倒性通過決議。
現行 SSL/TLS 憑證最長效期 398 天也是 2020 年由蘋果推動,並得到 Google 及 Mozilla 支持,由三大瀏覽器業者推動最長效期由 825 天縮短到現行 398 天,主要考量是長效期憑證一旦落入駭客手中,被用於惡意程式散布及中間人攻擊的風險較高。 換言之,縮短憑證效期可提高駭客盜用難度,變成必須在 47 天完成竊取,得手後最多也只能用 47 天。
(其實 Google 有走在前面,目前網站憑證的效期只有 85 天)
可以預見,憑證效期縮短必須增加定期更新憑證的維運成本,不過此屬(政治正確的)資安趨勢,我想即使未來憑證改走 PQC 後量子電子簽章法(延伸閱讀: NIST PQC 加密及簽章標準現況 2025 Q1)也不太容易回頭放寬效期。至少可以預期,廠商憑證簽發及伺服器憑證部署會加速朝自動化方向發展,每個月換一次憑證或許免不了,但不致像現在全賴人工申請、核准與更新,生命自會找出路吧~
註:Let's Encrypt 憑證效期只有 90 天,搭配 certbot 時間到自動更新,完全可實現「設後不理」(應該也沒人靠手動更新吧)。我的 Blog 是用 Ngnix + certbot Docker,設好之後只配合 ACME 改版升級過一次,平時完全忘記憑證要定期更新這檔事。所以要做自動更新技術上不是問題,等更換頻率高到人工扛不住,自然會走上這條路。
The blog discusses the CA/B Forum’s decision to reduce SSL/TLS certificate validity to 47 days by 2029. This change aims to enhance security by minimizing the risk of certificate misuse, though it will increase maintenance frequency. Automated solutions are likely to emerge to handle these updates efficiently.
Comments
# by yoyo
https://blog.gslin.org/archives/2025/01/17/12221/ 6天有效期!