设为首页收藏本站

 找回密码
 加入我们
搜索
      
Chiphell - 分享与交流用户体验»社区 讨论区-生活与技术的讨论 电脑讨论(新) SSL/TLS证书最长有效期锐减至47天
返回列表 发新帖
查看: 2707|回复: 23

[网络] SSL/TLS证书最长有效期锐减至47天

[复制链接]
cyberms
发表于 2025-4-14 16:44 | 显示全部楼层 |阅读模式
日前CA/B论坛服务器证书工作组投票通过SC-081v3提案,最终决定将SSL/TLS证书有效期从398天降至47天,SAN数据重用周期缩短至10天。

该措施将从2026年3月开始逐步实施,到2029年3月结束,具体时间表如下:

2026年3月14日前:证书有效期最长为398天

2027年3月14日前:证书有效期最长缩短至200天

2028年3月14日前:证书有效期最长缩短至100天

2028年3月15日后:证书有效期最长缩短至47天

Apple的提案
回复

举报

carlist
发表于 2025-4-14 16:48 | 显示全部楼层
每月一刷嘛,定时任务而已,web-admin不会连这点事都不愿意做吧

其实这个时间缩短也是很正常的,算力在增长,算法也在进步

缩短证书有效期就是为了防止密钥被破解的
回复

举报

凯旋幻影
发表于 2025-4-14 17:01 | 显示全部楼层
说起来,apple music是不是有一次因为忘记续期tls证书导致服务中断了来着
回复

举报

Wurenji
发表于 2025-4-14 17:12 | 显示全部楼层
证书服务商要签发的证书数量翻了好多倍,用收费证书平均每年的费用估计要涨吧
回复

举报

腿毛飘飘
发表于 2025-4-14 17:18 | 显示全部楼层
变成一个多月的定期任务了,反而会减少一直以来经常发生的大公司证书过期的乌龙事件。
回复

举报

trashgod
发表于 2025-4-14 17:23 | 显示全部楼层
只能说mmp了。。。真以为谁家都有什么鬼写计划任务脚本的便利条件?有的还是挂在人家控制台的,不可能自动更新,有的大集团公司也很蛋疼。。。

还有些renew的证书,延迟很大或者出故障,这种临时添乱的情况也很讨厌,需要提前不少天就准备。
回复

举报

gladiator
发表于 2025-4-14 17:31 | 显示全部楼层
续证书直接变成月度副本是吧
回复

举报

jop
发表于 2025-4-14 17:39 | 显示全部楼层
acme全自动得了
回复

举报

BONBONBON
发表于 2025-4-14 17:54 来自手机 | 显示全部楼层
个人用户怎么自动部署到几十个docker应用里?
回复

举报

xdynuaa
发表于 2025-4-14 18:42 | 显示全部楼层
我觉得有点坑爹。像我们这样很多不大的公司,都是开发兼职运维N个系统,有时候任务压力太大,一不小心就忘了
回复

举报

zhuifeng88
发表于 2025-4-14 18:45 | 显示全部楼层
没啥问题...别只想着正常用的时候方便, 万一需要主动吊销泄露证书(但现有的证书吊销方式实际并不太有效), 或者域名转手的时候, 证书有效期长达一年就哭去吧...
回复

举报

YoshinoSakura
发表于 2025-4-15 00:13 | 显示全部楼层
快进到内网IPMI之类的东西摆烂直接红叉叉不管了
不是什么设备都能这么方便自动续期的
回复

举报

goat
发表于 2025-4-15 00:41 | 显示全部楼层
凯旋幻影 发表于 2025-4-14 17:01
说起来,apple music是不是有一次因为忘记续期tls证书导致服务中断了来着

就是这个缩短消息没多久之后搞的乌龙,被各种嘲讽
回复

举报

goat
发表于 2025-4-15 00:42 | 显示全部楼层
YoshinoSakura 发表于 2025-4-15 00:13
快进到内网IPMI之类的东西摆烂直接红叉叉不管了
不是什么设备都能这么方便自动续期的 ...

某些内网设备表示放弃了,毁灭把世界
回复

举报

YoshinoSakura
发表于 2025-4-15 09:45 | 显示全部楼层
goat 发表于 2025-4-15 00:42
某些内网设备表示放弃了,毁灭把世界

那些设备统一换一次证书,都得一礼拜
真就是手动一个个传上去的,有一些传完了还得重启
平时就拿着东西监控,一旦发现哪台快过期就换哪台,把工作量分散到日常
改成47天的话,那就是每月都得换了
而且看消息,那个47天还是浏览器限制,也就是想自己内网自签根证书然后自有设备全部导根证书的法子也被堵上了
回复

举报

chazikai24
发表于 2025-4-15 10:03 | 显示全部楼层
很多业务没法acme自签,比如说租的企业邮箱之类的。自建的倒是没问题。
回复

举报

bennq
发表于 2025-4-15 10:16 | 显示全部楼层
caddy不是能全自动?
回复

举报

8owd8wan
发表于 2025-4-15 10:36 | 显示全部楼层
chazikai24 发表于 2025-4-15 10:03
很多业务没法acme自签,比如说租的企业邮箱之类的。自建的倒是没问题。

对,各种SAAS服务,配置的CNAME自定义域名
这样缩短,痛苦得要命
除非这些SAAS都加上自动续签功能。。。
回复

举报

MoonDigi
发表于 2025-4-15 10:44 | 显示全部楼层
goat 发表于 2025-4-15 00:42
某些内网设备表示放弃了,毁灭把世界

都内网了又不公开给陌生人用,自签一个10年证书不就完事了?
回复

举报

goat
发表于 2025-4-15 22:10 | 显示全部楼层
MoonDigi 发表于 2025-4-15 10:44
都内网了又不公开给陌生人用,自签一个10年证书不就完事了?

自签要么首次警告瞪着看,要么下发。问题菜鸟表示好像没有方法全平台下发信任根。不然这玩意儿还不如没有。
回复

举报

goat
发表于 2025-4-15 22:13 | 显示全部楼层
YoshinoSakura 发表于 2025-4-15 09:45
那些设备统一换一次证书,都得一礼拜
真就是手动一个个传上去的,有一些传完了还得重启
平时就拿着东西监 ...

记得以前自签根是颜色地址栏颜色不一样,现在直接不让用了吗
回复

举报

港城钢铁侠
发表于 2025-4-16 00:43 | 显示全部楼层
无所谓,acme.sh+nginx全自动续签
回复

举报

一日
发表于 2025-4-16 01:08 | 显示全部楼层
正规的都是全自动。

只能说现在这么改,没法手动了。
回复

举报

VariedValiance
发表于 2025-4-16 08:40 | 显示全部楼层
goat 发表于 2025-4-15 22:10
自签要么首次警告瞪着看,要么下发。问题菜鸟表示好像没有方法全平台下发信任根。不然这玩意儿还不如没有 ...

正规大企业直接走MDM下发证书就行了,当然上MDM又是一笔费用中小企业跟家庭作坊嘛,自生自灭吧
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2025-4-26 10:22 , Processed in 0.012360 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表