網站安全正面臨前所未有的變革。隨著 SSL 憑證有效期大幅縮短,手動更新已成為不可能的任務。本文將深入探討這項變革背後的驅動力,以及為何網站管理者必須採用自動化,才能在未來的網路世界中確保網站安全。
更短的有效期,更高的安全性
為了避免長期有效的憑證被駭客濫用,憑證產業論壇 CA/Browser Forum(CA/B 論壇)近期做出決定,將大幅縮短 SSL/TLS 憑證的最長效期。這項變革將對網站的憑證管理方式帶來顯著影響,自動化更新將成為不可或缺的關鍵。
CA/B 論壇決議:SSL 憑證效期大幅縮短
根據 CA/B 論壇在 2025 年 4 月做出的決議,SSL/TLS 憑證的最長效期將逐步縮短。從目前的 398 天開始,到 2029 年將縮短至僅剩 47 天,並且需要每月更新一次。這項提案獲得了蘋果、Google、Mozilla、微軟等主要瀏覽器廠商的支持,以及包括 Sectigo 在內的多家憑證頒發業者的贊成。
憑證有效期縮短的背景
過去,SSL/TLS 憑證的有效期較長,這也意味著一旦憑證被駭客取得,他們可以利用這些憑證更久,從而助長惡意程式的散布。為了降低這種風險,蘋果早在 2020 年就開始推動縮短憑證效期,並獲得 Google 及 Mozilla 的支持,將最長效期從 825 天縮減至目前的 398 天。
分階段實施的效期縮短計畫
CA/B 論壇的這項最新決議將分階段實施,具體計畫如下表所示:
| 實施日期 | SSL/TLS 憑證最長效期 | SSL/TLS 預計更新頻率 | 網域控制驗證 (DCV) 重複使用期限 |
|---|---|---|---|
| 2026 年 3 月 15 日起 | 200 天 | 每 6 個月一次 | 200 天 |
| 2027 年 3 月 15 日起 | 100 天 | 每 3 個月一次 | 100 天 |
| 2029 年 3 月 15 日起 | 47 天 | 每月一次 | 10 天 |
自動化憑證管理的重要性
憑證管理方案業者指出,縮短憑證有效期有助於提升線上安全、推動憑證數位化管理,並提高密碼學的靈活性,以因應量子電腦帶來的挑戰。然而,這也對網站的憑證管理帶來更大的挑戰。
在過去網站管理者可以每隔一段時間 (例如一年) 更新一次憑證,但未來隨著憑證有效期縮短至 47 天,每月更新將成為常態。這將大幅增加憑證管理的複雜度和工作量,手動更新幾乎不可行。
因此,自動化憑證管理 將成為網站維持安全運作的必要條件。網站管理者需要採用自動化的憑證管理工具和流程,才能有效地應對憑證有效期縮短所帶來的挑戰,確保網站的安全性和穩定性。
