2018年3月1日后:全球可信CA证书最多一次签发2年


打印本文             

一、随着CAB Forum第193号投票的通过,SSL行业将拥有更新更短的最长SSL证书有效期。
新的证书有效期为825天——即两年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。

二、设置证书有效期对保护证书安全性是非常重要的!基于PKI技术的数字证书,结合公钥加密算法、对称加密算法、散列算法等密码技术,用于实现认证、加密、签名等安全功能。随着全球计算力的提升,部分老旧的算法(如1024位RSA算法,及SHA-1等签名算法)已经被证明存在安全风险。为SSL证书设置有效期,便于用户及时更新证书,替换使用更为先进的加密算法,大大降低安全风险,提升整个生态系统的安全性。没有合理设置SSL证书有效期,可能造成极大的安全威胁。以自签名SSL证书为例,自签名SSL证书不受国际标准制约,可以把有效期设置为10年甚至20年。很多自签名证书长期未更新,仍在使用非常不安全的1024位RSA算法和SHA-1签名算法。超长的有效期和脆弱的加密算法,让黑客拥有足够的时间和算力破解证书的加密密钥,造成严重后果。此外,设置有效期的另一个原因是,CA机构必须重新验证身份信息,这可以确保身份认证信息是最新的,并且您仍然拥有为该域名颁发证书的权利。因此国际标准要求公开信任的SSL证书必须限制最长有效期。

三、由于全球可信的CA品牌在2018年3月1日后必须遵循证书最多一次签发2年的国际公约,而且每次续费后都要重新安装证书,因此我们建议客户一次购买2年,不仅价格上给予更大优惠,而且免去了每年续费后重新安装证书的麻烦。一次购买2年,2年只需要安装一次证书就可以了

四、SSL盾对证书转入续费的客户都有1-3个月时间的额外延期,无论是相同CA品牌还是不同CA品牌。