上月苹果公司在斯洛伐克布拉迪斯拉发的CA/浏览器（CA/B）论坛上宣布，自9月1日起，新颁发的公共信任TLS证书的有效期不超过398天。在此之前，CA/B论坛社群长期致力于缩短证书有效期与提高其安全性，同时平衡企业所有者向有效期较短的证书过渡的需求。

2019年8月，谷歌发起了CA/B论坛第SC22号决议，以使TLS证书的有效期缩短至一年。各家CA与其客户一起仔细研究了该提议，并征集了数千条用户意见，其中大多数是反对意见，原因是IT团队需要开展更多的工作来处理更短的证书有效期。该决议在论坛遭到了否决，这意味着证书的最长有效期保持不变，仍然为两年。

证书的最长有效期一度为三年。几年前，证书的最长有效期被缩短为两年。而本周苹果公司的公告最终完成了第SC22号决议未能完成的任务：将证书的有效期缩短至一年。

苹果公司为何要单方面决定缩短证书的有效期？该公司的发言人表示这是为了“保护用户”。我们从CA/B论坛之前的讨论了解到，在发生重大安全事件的情况下，有效期较长的证书的确在证书替换方面面临挑战。苹果公司显然希望避免无法快速应对与证书相关的重大威胁的生态系统。有效期较短的证书能提高安全性，这是因为如果TLS证书遭到破坏，有效期较短的证书能够缩短暴露的窗口期。它们还有助于修复组织内部的正常运营波动，方法是确保每年对公司名称、地址及活动域名等身份信息进行更新。与其他任何改进一样，应该在证书有效期的缩短和证书用户实施这些变化所面临的困难之间取得平衡。

应当注意的是，苹果公司尚未发布有关此主题的知识库文章，因此在其正式宣布之前，情况可能会有所变化。然而，假设变化已经实施，那么这对证书用户而言意味着什么？为了使您的网站获得Safari的信任，您将不能于2020年8月30日之后再颁发有效期超过398天的公共信任TLS证书。2020年9月1日之前颁发的所有证书仍将有效，不受证书有效期（最长825天）的影响。非公共信任证书仍然受到认可，其最长有效期为825天。

DigiCert认可较短的有效期有助于增强生态系统的安全性，并且DigiCert拥有必要的工具来帮助我们的客户实现证书生命周期流程的自动化。我们支持短期证书，为拥有高级自动化能力的客户提供有效期仅为几小时的证书。此外，我们的CertCentral平台还具有对EV、OV和DV证书的替换进行计划与自动化的功能。通过使用CertCentral，管理员可以利用持续发现、续订通知、全面的API集成和文档，以及对业务流程层支持的优势。CertCentral还支持多年期采购以消除计划方面的困难，并提供24/7全球支持，从而提供行业最佳体验。

鉴于证书有效期正在不断缩短，自动化对于各组织管理较短的证书有效期的能力而言不可或缺。DigiCert已准备好业界最先进、最可靠的工具来帮助我们的客户采取必要的步骤，以扩大自动化的使用。

DeanCoclin简介 Dean Coclin是DigiCert的业务开发高级总监。Dean为公司带来了30多年在软件、安全与电信领域的业务开发与产品管理经验。作为DigiCert的业务开发高级总监，他负责代表公司参与行业联盟并推动公司与技术合作伙伴的战略联盟。他是CA/浏览器论坛的前任主席，也是该论坛的现任副主席。他还是ASCX9 PKI研究小组的主席。（文/DigiCert）