SSL/TLS证书最长有效期锐减至47天
日前CA/B论坛服务器证书工作组投票通过SC-081v3提案,最终决定将SSL/TLS证书有效期从398天降至47天,SAN数据重用周期缩短至10天。该措施将从2026年3月开始逐步实施,到2029年3月结束,具体时间表如下:
2026年3月14日前:证书有效期最长为398天
2027年3月14日前:证书有效期最长缩短至200天
2028年3月14日前:证书有效期最长缩短至100天
2028年3月15日后:证书有效期最长缩短至47天
Apple的提案[谩骂] 每月一刷嘛,定时任务而已,web-admin不会连这点事都不愿意做吧
其实这个时间缩短也是很正常的,算力在增长,算法也在进步
缩短证书有效期就是为了防止密钥被破解的 说起来,apple music是不是有一次因为忘记续期tls证书导致服务中断了来着 证书服务商要签发的证书数量翻了好多倍,用收费证书平均每年的费用估计要涨吧[困惑] 变成一个多月的定期任务了,反而会减少一直以来经常发生的大公司证书过期的乌龙事件。 只能说mmp了。。。真以为谁家都有什么鬼写计划任务脚本的便利条件?有的还是挂在人家控制台的,不可能自动更新,有的大集团公司也很蛋疼。。。
还有些renew的证书,延迟很大或者出故障,这种临时添乱的情况也很讨厌,需要提前不少天就准备。 续证书直接变成月度副本是吧[偷笑] acme全自动得了[偷笑] 个人用户怎么自动部署到几十个docker应用里? 我觉得有点坑爹。像我们这样很多不大的公司,都是开发兼职运维N个系统,有时候任务压力太大,一不小心就忘了 没啥问题...别只想着正常用的时候方便, 万一需要主动吊销泄露证书(但现有的证书吊销方式实际并不太有效), 或者域名转手的时候, 证书有效期长达一年就哭去吧... 快进到内网IPMI之类的东西摆烂直接红叉叉不管了
不是什么设备都能这么方便自动续期的 凯旋幻影 发表于 2025-4-14 17:01
说起来,apple music是不是有一次因为忘记续期tls证书导致服务中断了来着
就是这个缩短消息没多久之后搞的乌龙,被各种嘲讽 YoshinoSakura 发表于 2025-4-15 00:13
快进到内网IPMI之类的东西摆烂直接红叉叉不管了
不是什么设备都能这么方便自动续期的 ...
某些内网设备表示放弃了,毁灭把世界[再见] goat 发表于 2025-4-15 00:42
某些内网设备表示放弃了,毁灭把世界
那些设备统一换一次证书,都得一礼拜
真就是手动一个个传上去的,有一些传完了还得重启
平时就拿着东西监控,一旦发现哪台快过期就换哪台,把工作量分散到日常
改成47天的话,那就是每月都得换了
而且看消息,那个47天还是浏览器限制,也就是想自己内网自签根证书然后自有设备全部导根证书的法子也被堵上了 很多业务没法acme自签,比如说租的企业邮箱之类的。自建的倒是没问题。 caddy不是能全自动?
chazikai24 发表于 2025-4-15 10:03
很多业务没法acme自签,比如说租的企业邮箱之类的。自建的倒是没问题。
对,各种SAAS服务,配置的CNAME自定义域名
这样缩短,痛苦得要命
除非这些SAAS都加上自动续签功能。。。 goat 发表于 2025-4-15 00:42
某些内网设备表示放弃了,毁灭把世界
都内网了又不公开给陌生人用,自签一个10年证书不就完事了? MoonDigi 发表于 2025-4-15 10:44
都内网了又不公开给陌生人用,自签一个10年证书不就完事了?
自签要么首次警告瞪着看,要么下发。问题菜鸟表示好像没有方法全平台下发信任根。不然这玩意儿还不如没有。 YoshinoSakura 发表于 2025-4-15 09:45
那些设备统一换一次证书,都得一礼拜
真就是手动一个个传上去的,有一些传完了还得重启
平时就拿着东西监 ...
记得以前自签根是颜色地址栏颜色不一样,现在直接不让用了吗[流泪] 无所谓,acme.sh+nginx全自动续签[偷笑] 正规的都是全自动。
只能说现在这么改,没法手动了。 goat 发表于 2025-4-15 22:10
自签要么首次警告瞪着看,要么下发。问题菜鸟表示好像没有方法全平台下发信任根。不然这玩意儿还不如没有 ...
正规大企业直接走MDM下发证书就行了,当然上MDM又是一笔费用[偷笑]中小企业跟家庭作坊嘛,自生自灭吧[怪脸]
页:
[1]