https(SSL)证书危机和可行的解决方案 - 教程
2025-10-06 15:42 tlnshuju 阅读(0) 评论(0) 收藏 举报证书危机
20250411,CAB 论坛服务器证书工作组( SCWG )投票通过一项重大提案《 SC-081v3: 引入缩短有效期和数据重复使用期的时间表》,最终决定:从 2026 年起 SSL/TLS 证书的最大有效期将从 398 天逐步缩短至 47 天,并计划在 2029 年全面落实执行。(来源: https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/)
过去十年,SSL/TLS证书的使用寿命显著缩短。
2011年,由国际性电子认证机构(CA)与操作系统、浏览器厂商组成的CA/B论坛(CA / Browser Forum)将证书有效期从最早的8-10年缩短至5年。
2015年,又由5年缩短至3年,到2018年则缩短为2年。
2019年,虽然CA/B论坛会议投票否决了将证书有效期减少至一年的提议,但该措施却依然得到了苹果、谷歌、微软、Mozilla和Opera等浏览器厂商的压倒性支持。而在2020年2月,苹果首次宣布:拒绝在9月1日或之后发布的有效期超过398天的新SSL/TLS证书。从那时起,Google和Mozilla都纷纷效仿。
2020年9月1日起,两年期公共SSL/TLS证书正式告别了行业,在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,SSL/TLS证书最长有效期变更为13个月,同时,全球各大证书权威签发机构已停止签发有效期超过1年(398天)的SSL证书。
而在当前(20250530),还能使用的免费证书,无论什么渠道,都只有3个月有效期了。 并且免费证书也逐渐收紧,随时可能消失。
需要注意的是,与https证书越来越收紧的趋势同步的是,各个操作系统,浏览器已经逐步实现了强制要求https的限制。这意味着数亿的域名,以前可以直接通过http访问的,以后不得不额外支付https证书费用才能用, 而且还是每年都要支付。 无疑,这是一个巨大的市场。
同时,日益增长的意识形态冲突也给使用https证书的网站带来了巨大的风险。
就像万事达信用卡, SWIFT,没事的时候, 是很便利的支付工具。但一旦有冲突,就会沦为战争的工具,瞬间瘫痪一个国家的金融框架。
https 证书目前面临的是比 SWIFT,万事达更大的风险。 因为支付工具除了这些,还有其他的可能性。但是所有的网络访问,目前都被https 证书所限制。 一旦有冲突,证书机构沦为战争器具,那么瞬间全国的网络的应用就会全部崩溃停摆。包括银行、电力、交通、政务等等。 甚至连基础设施平台,如云服务器都逃不了停摆的命运。 且短时间内没有其他的替换机制。 这是悬在所有人头上的达摩利斯之剑。
值得注意的是,很多国内号称自主签署证书的机构,其实都是由国际机构的代理。国内并没有一家真正意义上的顶级证书机构。这些号称自主实则受控于人的机构,由于提供了虚假的安全幻象,尤为危险。
危机的根本原因
我们之所以需要https证书,是因为安全的需求。 而安全的基础,是建立在信任上的。目前https证书,通过多层的签发机构,来建立了某种程度上的信任。
但是这种信任是非权威的,完全依赖于CA的商业公司和相关利益方组成的联盟(CA/B)。 事实上,当你访问一个https网站,浏览器告诉你这个网站是安全可信的时候,仅仅是因为这个网站给CA公司交了一笔钱。 甚至CA公司都不知道站长是谁,在什么地方。
无法依赖的。就是在全球局势波动,SWIFT可以瞬间封锁一国的前车之鉴下。 这种基于联盟的信任,显然
可行的解决方案
通过前面的根因1分析,可以很容易的得出解决方案: 就是构建可信度等同,甚至超过CA/B的信任机制。 那么就可以通过构建新的信任机制,作为另一种https证书的签发机构, 来构建有选择的余地。
具体来说:
对于政府部门,金融,保险,安全等企事业
这些部门很容易确立一个权威的顶级CA,比如人民银行。 由于自身机构的属性,这个顶级CA的可信度自然是毫无疑问的。 再由这个顶级CA,逐层的向下签发机构证书,直到最终用户证书。这就是一个很自然的过程。
对于大型商业公司
通过自由联盟的形式,构建行业联盟的顶级CA。并且多个不同行业的顶级CA,通过自由竞争,还能确定更好的服务机构。
也确实从严把关了一些网站内容的审核。 单从真实性核查这一点上看,备案机制的责任心要远远超过CA机构交钱就签发的证书。就是这里要补充一个例子的就是,比如说域名备案。目前的备案机制天怒人怨,极大地限制了极客自由发挥的空间,只
如果目前的域名备案机制,能加上一个签发https证书的服务,那么不仅能扭转备案制的负面印象,还会吸引更多的站长来主动备案。 属于一举多得的双赢!
对于中小企业和个人
对于中小企业和个人来说,安全的因素不是那么高,便捷性和价格成本往往是更主要的。
这里需要区分下,如果你的用户(潜在用户)是公众,大部分人可能随机访问到你的服务。那么老老实实购买国际CA的证书,是更好的选择。
但如果你的用户是特定的,甚至是收费才能用的。 那么就可以自建一个公司的CA证书,拿该证书去签发所需的https证书。 因为你的用户是特定的,你有机会和渠道,将公司的CA证书,以用户可信的渠道发给用户。 只要用户安装并信任了你的CA证书,那么你的https证书就是无穷无尽的了。
特定的,你可以接触到,可以建立信任的。以此确保CA证书的可信度。就是这里有个特点的约束场景,就是你的用户
否则将CA证书挂在官网上期望匿名访客来信任它,就不大现实了。
本文同步发表在软件需求探索的https://srs.pub/miscellaneous/certba.html
商业分析中的五十种分析方法和技巧之40-根本原因分析.https://srs.pub/babok/genbenyuanyin-fenxi.html↩︎
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/929469.shtml
如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!相关文章
电商网站建设多少钱策划书word模板范文
做的比较好的手机网站网店美工分为几个级别
详细介绍:WIN11+VSCODE搭建c/c++开发环境
)
笔记:寻找适合自己的简历工具(YAMLResume)
实用指南:Linux 权限管理入门:从基础到实践
用Google的DeepResearch+音频生成功能生成自己感兴趣内容的Podcast
 下载 (2025 年 9 月发布))
Windows 11 24H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 9 月发布)
重庆网站建设首选卓光优化国内访问wordpress
某企业集团网站建设方案论文中国建设工程网站
Windows 11 25H2 正式版发布,新增功能简介
滨海新区网站建设网站建设方案确认表
网站开发实用技术 代码网站下载的视频怎么变成本地视频
网站建设的财务分险医疗类网站哪家做的好
wordpress用什么数据库连接seo程序
自己做电商网站.seo公司怎么样
买空间做网站什么软件可以推广自己的产品
新手学做网站用什么软件wordpress去除顶部
