相信广大读者已经了解了SSL证书有效期将于明年 3月15日 缩短为200天,但是新的方向标是Let’s Encrypt计划明年 5月13日 正式支持自动化签发45天有效期证书,比国际标准要求的2029年3月15日签发47天证书提前了两年十个月!这是绝对是一个方向标,笔者大胆预测国际标准也许会更改缩短SSL证书有效期时间表,本文讲一讲这个关系到所有SSL证书用户的大事。
Let’s Encrypt是SSL证书自动化的发起厂商,也是国际标准RFC 8555 (自动化证书管理环境,ACME) 的制定牵头单位,同时也是占领全球SSL证书市场接近 50% 市场份额的免费CA机构,位于第二位的谷歌信任服务(GTS)市场份额为14%。Let’s Encrypt于12月2日在其官网发布了“提前缩短SSL证书有效期为45天”的计划,具体有:
请读者朋友再对齐一下国际标准制定的时间表:
请注意:谷歌是在2023年3月3日首次提出了缩短SSL证书有效期为90天的标准提案,那个时候Let’s Encrypt 和谷歌GTS就一直在免费提供90天有效期SSL证书,并且Let’s Encrypt市场份额已经是第一位(接近50%),谷歌GTS为第4位,现在谷歌GTS已经是第二位。如果Let’s Encrypt (火狐浏览器背景)、谷歌(谷歌浏览器)和苹果(Safari浏览器)再次联手的话,则极有可能会修改国际标准提前实现47天!
我把这个问题分别问了一下Grok和DeepSeek,都印证了笔者想到的理由,总结一下主要有如下两点:
Let‘s Encrypt本来就一直在提供90天有效期证书,而国际标准的妥协方案是先缩短为200天再缩短为100天,Let’s Encrypt已经有了10年的自动化证书签发经验,作为行业领导者不能满足于仅满足国际标准的要求,而应该提前缩短证书有效期,给业界做一个表率和制定一个方向标,实现其根本目标:构建一个更安全、自动化程度更高的全球互联网安全基础环境。
Let‘s Encrypt科研团队和主要赞助商包括谷歌、亚马逊、思科等应该已经评估到量子计算机可能会提前到来,可破解当前密码算法的量子计算机临近实用,更短的证书生命周期意味着全球互联网可以更快地强制切换到新的、抗量子攻击的密码算法。量子计算是推动缩短证书有效期这一行业趋势的 “终极压力”和长期驱动因素。Let's Encrypt的提前调整,不仅是为了应对眼下的威胁,更是为即将到来的密码范式转变铺平道路,确保互联网基础安全能够平滑、快速地过渡到后量子密码时代。
SSL证书自动化管理是非常成熟的技术。从2019年成为RFC8555国际标准到现在已经成熟运行6年多,自动化签发的全球信任的SSL证书超过100亿张,目前全球超过90%的SSL证书都是自动化签发的,很遗憾,这么成熟的技术在我国没有得到普及应用,直到最后三个月了大多数用户还在计划抢购最后一批一年期证书,这真的是很不理智的采购行为。
既然SSL证书自动化是必须的,为何不早点采用呢?早点采用不仅可以省掉不必要的采购证书费用,而且可以早点不再为多个系统部署SSL证书操心,选择零信技术双算法SSL证书自动化管理解决方案可以实现一次微改造完成五大技改目标:
鉴于Let’s Encrypt具备主导制定国际标准的能力,由于自身已经提前缩短了SSL证书有效期,证明了继续缩短SSL证书有效期是可行的。所以,为了避免国际标准提前缩短证书有效期而急于应对,不如现在就行动起来,马上实施SSL证书自动化,同时完成后量子密码迁移,真正采用切实可行的技术方案来保障关键信息基础设施系统的机密数据的持续安全,切实保障组织的持续健康发展。早行动,早收益,少损失。
