9 月 1 日开始，新的 TLS 证书的寿命将从之前的 27 个月（825 天）变为 398 天。

　　为了提高安全性，苹果、谷歌和 Mozilla 将拒绝在各自的浏览器中使用创建日期已超过 13 个月（或 398 天）的公开数字证书。

　　过去十年，SSL/TLS 证书的使用寿命显著缩短。2011 年，由认证机构和浏览器软件供应商组成的认证机构/浏览器论坛 CA/B将证书有效期从最早的8-10 年缩短至 5 年。

　　2015 年，又由 5 年缩短至 3 年，到 2018 年则缩短为 2 年。

　　而在 2019 年，虽然投票否决了将证书有效期减少至一年的提议，但该措施却依然得到了苹果、谷歌、微软、Mozilla 和 Opera 等浏览器制造商的压倒性支持。而在今年 2 月份，苹果首次宣布：拒绝在 9 月 1 日或之后发布的有效期超过 398 天的新 TLS 证书。从那时起，Google 和 Mozilla 都纷纷效仿。

　　如果有效期超过 398 天，会如何？TLS 服务器连接将失败，网站无法加载。

　　对于一些企业来说，并不想每年更换证书，但基于安全性，却不得不这么做。

　　一方面，短期更换证书能确保 Web 开发人员始终使用最新的 SSL 证书加密标准和技术，另外，还能降低黑客利用旧的或被忽略的 SSL 证书进行网络钓鱼或恶意软件攻击的风险。

　　反之，有效期的缩短给管理证书的 Web 开发人员或网站所有者带来了更多的工作量，将要求他们增加证书替换的频率，这也意味着成本的提高，而企业如果忽略证书的有效期，导致证书过期，那么频繁的过期证书警告可能导致 Web 访问者更容易绕过安全警告，还可能造成服务中断从而给企业带来财产损失。

　　因此，如何管理大规模寿命短暂的证书，将是企业需要思考的问题。

　　参考来源：

　　thehackernews