当前位置：首页 > article >正文

https(SSL)证书危机和可行的解决方案

article 2025/6/7 2:54:15

证书危机

20250411,CAB 论坛服务器证书工作组（ SCWG ）投票通过一项重大提案《 SC-081v3: 引入缩短有效期和数据重复使用期的时间表》，最终决定：从 2026 年起 SSL/TLS 证书的最大有效期将从 398 天逐步缩短至 47 天，并计划在 2029 年全面落实执行。(来源: https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/)

过去十年，SSL/TLS证书的使用寿命显著缩短。

2011年，由国际性电子认证机构（CA）与操作系统、浏览器厂商组成的CA/B论坛（CA / Browser Forum）将证书有效期从最早的8-10年缩短至5年。

2015年，又由5年缩短至3年，到2018年则缩短为2年。

2019年，虽然CA/B论坛会议投票否决了将证书有效期减少至一年的提议，但该措施却依然得到了苹果、谷歌、微软、Mozilla和Opera等浏览器厂商的压倒性支持。而在2020年2月，苹果首次宣布：拒绝在9月1日或之后发布的有效期超过398天的新SSL/TLS证书。从那时起，Google和Mozilla都纷纷效仿。

2020年9月1日起，两年期公共SSL/TLS证书正式告别了行业，在三大浏览器（Apple Safari、 Google Chrome、Mozilla Firefox）的推动下，SSL/TLS证书最长有效期变更为13个月，同时，全球各大证书权威签发机构已停止签发有效期超过1年（398天）的SSL证书。

而在当前（20250530），还能使用的免费证书，无论什么渠道，都只有3个月有效期了。并且免费证书也逐渐收紧，随时可能消失。

需要注意的是，与https证书越来越收紧的趋势同步的是，各个操作系统，浏览器已经逐步实现了强制要求https的限制。 这意味着数亿的域名，以前可以直接通过http访问的，以后不得不额外支付https证书费用才能用，而且还是每年都要支付。无疑，这是一个巨大的市场。

同时，日益增长的意识形态冲突也给使用https证书的网站带来了巨大的风险。

就像万事达信用卡, SWIFT，没事的时候, 是很便利的支付工具。但一旦有冲突，就会沦为战争的工具，瞬间瘫痪一个国家的金融系统。

https 证书目前面临的是比 SWIFT,万事达更大的风险。因为支付工具除了这些，还有其他的可能性。但是所有的网络访问，目前都被https 证书所限制。一旦有冲突，证书机构沦为战争工具，那么瞬间全国的网络的应用就会全部崩溃停摆。包括银行、电力、交通、政务等等。甚至连基础设施平台，如云服务器都逃不了停摆的命运。且短时间内没有其他的替换机制。这是悬在所有人头上的达摩利斯之剑。

值得注意的是，很多国内号称自主签署证书的机构，其实都是由国际机构的代理。国内并没有一家真正意义上的顶级证书机构。 这些号称自主实则受控于人的机构，由于提供了虚假的安全幻象，尤为危险。

危机的根本原因

我们之所以需要https证书，是因为安全的需求。而安全的基础，是建立在信任上的。目前https证书，通过多层的签发机构，来建立了某种程度上的信任。

但是这种信任是非权威的，完全依赖于CA的商业公司和相关利益方组成的联盟(CA/B)。事实上，当你访问一个https网站，浏览器告诉你这个网站是安全可信的时候，仅仅是因为这个网站给CA公司交了一笔钱。甚至CA公司都不知道站长是谁，在什么地方。

在全球局势波动，SWIFT可以瞬间封锁一国的前车之鉴下。这种基于联盟的信任，显然是无法依赖的。

可行的解决方案

通过前面的根因 ¹分析，可以很容易的得出解决方案：就是构建可信度等同，甚至超过CA/B的信任机制。那么就可以通过构建新的信任机制，作为另一种https证书的签发机构，来实现有选择的余地。

具体来说:

对于政府部门，金融,保险,安全等企事业

这些部门很容易确立一个权威的顶级CA，比如人民银行。由于自身机构的属性，这个顶级CA的可信度自然是毫无疑问的。再由这个顶级CA，逐层的向下签发机构证书，直到最终用户证书。这就是一个很自然的过程。

对于大型商业公司

通过自由联盟的形式，构建行业联盟的顶级CA。并且多个不同行业的顶级CA，通过自由竞争，还能确定更好的服务机构。

这里要补充一个例子的就是，比如说域名备案。目前的备案机制天怒人怨，极大地限制了极客自由发挥的空间，但是也确实从严把关了一些网站内容的审核。单从真实性核查这一点上看，备案机制的责任心要远远超过CA机构交钱就签发的证书。
如果目前的域名备案机制，能加上一个签发https证书的服务，那么不仅能扭转备案制的负面印象，还会吸引更多的站长来主动备案。属于一举多得的双赢！

对于中小企业和个人

对于中小企业和个人来说，安全的因素不是那么高，便捷性和价格成本往往是更重要的。

这里需要区分下，如果你的用户（潜在用户）是公众，大部分人可能随机访问到你的服务。那么老老实实购买国际CA的证书，是更好的选择。

但如果你的用户是特定的，甚至是收费才能用的。那么就可以自建一个公司的CA证书，拿这个证书去签发所需的https证书。因为你的用户是特定的，你有机会和渠道，将公司的CA证书，以用户可信的渠道发给用户。只要用户安装并信任了你的CA证书，那么你的https证书就是无穷无尽的了。
这里有个特点的约束场景，就是你的用户是特定的，你可以接触到，可以建立信任的。以此确保CA证书的可信度。
否则将CA证书挂在官网上期望匿名访客来信任它，就不大现实了。

本文同步发表在软件需求探索的https://srs.pub/miscellaneous/certba.html

商业分析中的五十种分析方法和技巧之40-根本原因分析. https://srs.pub/babok/genbenyuanyin-fenxi.html ↩︎

https(SSL)证书危机和可行的解决方案

证书危机

危机的根本原因

可行的解决方案

对于政府部门，金融,保险,安全等企事业

对于大型商业公司

对于中小企业和个人

相关文章：

https(SSL)证书危机和可行的解决方案

C#获取磁盘容量：代码实现与应用场景解析

2359. 找到离给定两个节点最近的节点

前端导入Excel表格

AI生态警报：MCP协议风险与应对指南（下）——MCP Host安全

基于VLC的Unity视频播放器（四）

pixel刷入Android15 userdebug版本

【Go-补充】ioReader + ioWriter + bufio

leetcode 3403. 从盒子中找出字典序最大的字符串 I 中等

C# 一个解决方案放一个dll项目，一个dll测试项目，调试dll项目的源码

【PmHub面试篇】PmHub 整合 TransmittableThreadLocal（TTL）缓存用户数据面试专题解析

unity随机生成未知符号教程

基于RK3576+FPGA+AI工业控制器的工地防护检测装备解决方案

推荐一款PDF压缩的工具

混沌映射（Chaotic Map）

MySQL对数据库用户的操作

《PyTorch Hub：解锁深度学习模型的百宝箱》

数据结构堆与优先级队列

Leetcode 3569. Maximize Count of Distinct Primes After Split

用好 ImageFX，解锁游戏素材生成新姿势：从入门到进阶

unix/linux，sudo，其基本属性、语法、操作、api

文本内容变化引起布局尺寸变化导致的 UI 适配问题

01-Redis介绍与安装

十六、【前端强化篇】完善 TestCase 编辑器：支持 API 结构化定义与断言配置

Kafka broker 写消息的过程

VR博物馆推动现代数字化科技博物馆

Python爬虫之数据提取

第2讲、Odoo深度介绍：开源ERP的领先者

【TCP/IP和OSI模型以及区别——理论汇总】

【HarmonyOS 5】生活与服务开发实践详解以及服务卡片案例