SSL證書周期變為90天? 如何應對行業新規

3月3日，谷歌在其“Move Forward, Together”欄目中，稱已向CA/B論壇發起了投票提案，建議將公共TLS（也稱為SSL）證書的最長有效期從398天減少到90天。值得注意的是，即便CA/B論壇沒有通過這一提議，谷歌也可以單方面強制行業改變，將較短的有效期作為Chrome根程序的要求。

這主要是因為瀏覽器控制自己的根程序需求，不必等待CA/B論壇的正式規則更改。而考慮到Chrome的市場份額，如果谷歌堅持這一改變，90天的上限將成為每一個商業公共證書機構都必須遵循的事實上的標準。據預測這一新變化很大可能將在2024年底生效。

90天有效期對IT運維的影響

90天有效期的SSL證書對IT運維的影響相當大。傳統上，IT運維只要一年更新一次SSL證書即可，現在是最長90天就要更新一次，這個過程涉及到識別即將到期的證書、獲取新證書和部署新證書等。考慮到大多數企業都有很多證書，而且這個數字還在快速增長，手工的方式管理SSL證書將會是一項復雜而耗時的任務，同時也容易出差錯。如果不能有效的應對90天效期的SSL證書，未來業務系統因為SSL證書過期導致的業務中斷將會層出不窮。

證書部署的自動化成未來大勢

銳成建議盡快實現SSL證書的自動化管理，并對SSL證書實際部署結果進行監控，確保業務正常進行。

1.  自動化SSL證書申請和部署：能夠自動跟蹤和更新證書、減少人為錯誤和證書過期風險的自動化證書管理工具。

2.  定期的SSL證書監控:可以對SSL證書部署情況、到期信息、安全漏洞、合規性等進行自動監控，并以多種方式發送安全預警通知，確保SSL證書運維零事故。

銳成的SSL證書自動化部署方案

1.  基于API的證書自動化部署

通過API進行SSL證書申請、通過驗證、下載證書并自動化部署SSL證書到業務系統中，這種方式對現有系統的影響最小，同時讓渠道對證書部署方式有最大的把控力，該方案在建站公司、運維軟件、CDN服務商以及企業大客戶中已經大量應用。

2.  基于ACME服務的證書自動化部署

對于部分不具備API的對接能力的客戶，可以考慮使用ACME服務進行證書的自動化更新和部署。不過基于ACME服務的證書自動化更新方案要求在服務器新安裝ACME客戶端，同時更新證書的環境也是相對標準的Ngnix，Apache，IIS等環境，有一定的局限性。

SSL證書監控服務

考慮到自動化部署可能存在的異常，或者在配置自動化部署節點時，可能會漏配置一些節點，我們建議在實際運維環境中增加SSL監控服務，滿足不同層級的數據安全需求。

如果您對即將到來的更短的 SSL 證書生命周期感到擔憂，可以實施一個全面的 SSL 證書管理策略，以更好地應對這種變化。如您有更多疑問或需求，具體請聯系我們獲得支持。