根据 CA/Browser Forum 通过的 SC-081v3 号提案,证书的最长有效期将在未来几年逐步缩短,并最终于 2029 年降至 47 天。
重要信息:
- 手动管理证书在数学上已经不再可行。从 1 年期证书缩短到 47 天证书,运维工作量增至 9 倍,容错空间极小,且传统表格与日历管理必然导致服务中断。
- 可见性是安全的基本前提。大型企业常常面临影子 IT 和未记录的端点问题,从而导致意外的停机。维护一个集中式、自动化的清单,可以确保证书在过期前得到跟踪和续期。
- 移动应用程序面临一种独特的“变砖”风险。与浏览器不同,移动应用程序通常嵌入静态信任逻辑,当服务器证书频繁轮换时会失效,因此需要转向动态证书绑定或公钥绑定,避免用户端服务直接不可用。
- 信任基础设施必须跟上软件交付速度。将证书视为孤立管理任务会导致部署瓶颈;将证书健康状态直接集成到 CI/CD 管道,可持续执行安全策略并验证信任状态。
- 自动化必须取代人工干预以确保恢复能力。手动生成 CSR 和基于邮件的审批流程会带来延迟与不一致性,无法适应 47 天的证书有效期限制;而采用基于 ACME 的事件驱动自动化,可以确保证书续期是程序化、可重复且具备故障安全能力的。
常见问题 (FAQ)
到 2029 年,DCV 的复用期限被限制在仅 10 天以内,这意味着企业机构几乎每周都必须重新证明其对域名的所有权。
移动应用面临一种“不对称鸿沟”,因为它们通常将信任逻辑或固定的证书直接嵌入已分发的二进制文件中,而这些文件无法像服务端证书轮换那样快速地更新。
Akamai 建议放弃叶子证书固定,转而采用主体公钥信息 (SPKI) 固定。这种方式允许证书在重新颁发时使用新的有效期,同时复用同一对密钥。
第一类是边缘平台向终端用户提供的证书,第二类是源站服务器向边缘平台提供的证书,用于维持完整信任链。
如果轮换源站证书需要人工干预,Akamai 建议在边缘配置中固定一个特定的源站证书作为临时过渡措施,并建立一个每年或每半年轮换一次该证书的流程。
ACME 外部帐户绑定 (EAB) 是一种将自动化证书申请与 CA 已验证帐户绑定的机制。它通过在帐户注册过程中要求提供加密证明,确保只有授权用户才能签发证书。EAB 通常用于在自动化证书签发过程中强制执行访问控制、计费、策略合规性以及可审计性等。
ACME EAB 支持与商业证书颁发机构之间进行经过身份验证且受策略驱动的交互,从而在实现零接触自动化的同时,保留现有的身份控制与审批工作流程。
高管应优先审计证书清单,以建立单一事实来源,梳理所有手动续期的依赖项,并审计移动应用,以使其从高风险的叶子证书固定策略中迁移出来。