吳明宜由瀏覽器廠商、安全憑證頒發廠商組成的 CA/瀏覽器論壇 (CA/Browser Forum) 近日投票過過,2029 年 3 月 15 日起,SSL/TLS 憑證最長效期將縮短為 47 天。
SSL/TLS 憑證是實施 HTTPS 連線加密的基礎技術。 2020 年蘋果推動縮短,且獲得 Google 及 Mozilla 三大瀏覽器業者支持,將憑證最長效期由 825 天減為現行的 398 天。蘋果去年再提議大幅縮減憑證效益,且再次獲得多家科技公司支持。 4 月 11 日在 CA/Browser 論壇的提案表決中,憑證頒發業者以 25:0 無異議、 5 家業者棄權通過蘋果的提案。而四家瀏覽器業者包括蘋果、 Google 、微軟及 Mozilla 也全數贊成。
CA/Browser 決議分階段實施效期縮減。 2026 年 3 月 15 日,新頒發的 SSL/TLS 憑證包括網域控制驗證 (Domain Control Validation, DCV) 將每 200 天更新一次.2027 年 3 月 15 日,憑證效期改為 100 天。 2029 年 3 月 15 日起,SSL/TLS 憑證效期縮短為 47 天,DCV 每 10 天就要更新一次。
CA/Browser 論壇副主席暨 Sectigo 遵循長 Tim Callan 指出,產業一致支持憑證效益縮短,反映了大家對數位安全及信任的投入決心。
縮短最長效期的理由是,憑證若被破壞或失竊流攻擊者手中,就可以用來簽發惡意程式,突破安全產品或 Windows 的驗證。縮短最長效期,意謂著憑證失竊危害風險比長效期的憑證要低。但是這也意謂企業要花多更錢採購憑證,也要更留意不要讓憑證過期影響服務。不過,還是有像 Let’s Encrypt 這類業者可以選擇,不但提供免費憑證,還幫忙自動更新憑證。
來源:The Register