文｜三易生活

作為全球頂尖的科技巨頭之一，蘋果不止在自己的一畝三分地里說一不二，在整個互聯網行業也有擁有著巨大的影響力，他們的一舉一動也會改變部分從業者的生活。

日前有消息顯示，蘋果已向國際性電子認證機構（CA）與操作系統、瀏覽器廠商組成的CA/B論壇提交表決提案，建議將SSL/TLS證書的有效期從398天縮短至45天。

消息一出，無數站長以及社區管理員開始在網絡上吐槽蘋果的這個決定，紛紛抱怨其不該進行這項提案。據悉，SSL/TLS證書是一種權威性的電子文檔，同時也是網絡信息傳播之中證明身份的工具。而TLC/SSL證書主要發揮作用的場景，就是我們用瀏覽器訪問網站時，它會確保瀏覽器訪問的web服務器是URL對應的、而非釣魚網站。

在訪問互聯網的過程里，用戶在瀏覽器中輸入的網址后，瀏覽器首先會檢閱網站的web服務器里存儲的數字證書，以對服務器進行身份驗證。簡單來說，數字證書的意義就是在網絡上證明“我是我”。如果TLC/SSL證書無效，用戶就會看到一條警告，聲稱連接不是私有的，也意味著瀏覽器無法與網站建立安全的加密連接。

面對這種情況，瀏覽器現在會以直接警告的方式提示不要訪問對應網站，所以對于網站的站長來說，如果沒有TLC/SSL證書或者是證書過期，也就意味著訪問量可能暴跌，而沒有訪客則代表網站上掛載的廣告不會被打開，最終影響他們的收入。所以對于網站站長來說，保證TLC/SSL證書的長期有效是確保網站生存的頭等大事。

如此一來，站長想要的自然是TLC/SSL證書有效期越長越好。然而遺憾的是，負責簽發TLC/SSL證書的數字證書認證中心（CA）和驗證證書的瀏覽器廠商，站在了站長的對立面。最初TLC/SSL證書的有效期最高是10年，到了2011年這個數字變成5年，隨后在2015年減到3年、2018年更是縮短為2年。

到了2020年，蘋果在未經CA/B論壇投票的情況下，單獨宣布自2020年9月1日開始，任何有效期超過398天的新TLC/SSL證書將不會受到Safari瀏覽器的信任，緊接著Google和Mozilla也紛紛效仿。沒錯，現在網站的TLC/SSL證書已經需要每年進行續簽。那么為何瀏覽器巨頭都想要縮短這個證書的有效期呢？

答案是蘋果是為了用更低的成本，來提高用戶從其瀏覽器訪問網絡的安全性。眾所周知，TLC/SSL證書來自于作為第三方的數字證書認證中心，后者會使用非對稱加密技術來產生一對公鑰和私鑰，然后用自己的私鑰對自己的公鑰進行簽名。公鑰加密算法的安全性是建立在私鑰安全的基礎上，所以如果網站使用的數字證書私鑰文件被不慎泄露呢？

TLC/SSL證書的私鑰泄露，將會讓加密數據傳輸通道不再具有“加密”的作用，不法分子通過泄露的私匙就可以竊取網站的數據、內容，進而獲得用戶的賬號密碼、支付密碼等敏感信息。因此縮短證書有效期就可以讓證書頒發機構輪換密鑰，進而保障證書自身的安全性。

與此同時，由于每一次申請TLC/SSL證書都需要“驗明正身”，所以縮短證書有效期，也可以使得證書頒發機構及時對網站的最新信息進行驗證，從而確保網站的真實身份及其安全性。再說了，一個的合法網站永遠不會成為釣魚站點，這種保證瀏覽器廠商可做不出來。

最為核心的一點，是TLC/SSL證書的有效期越長，證書吊銷列表（CRL）也會變得越來越長，而CRL的作用就是告知瀏覽器哪些證書是有效、哪些已經被吊銷。它越長就會?越增加瀏覽器的請求流量壓力，進而導致瀏覽器崩潰等情況的出現。

一旦TLC/SSL證書的時效縮短，證書頒發機構就要始終保持加密算法的穩定性和安全性，而網站站長為了避免因證書過期導致網站成為網絡釣魚活動的溫床，就要始終關注證書的有效期。如此一來，縮短TLC/SSL證書的有效期就等于是臟活累活要證書頒發機構和網站站長來干，蘋果只需坐享其成即可。

從398天到45天，就意味著網站站長要從現在每年更新一次TLC/SSL證書，發展到每一個半月就更新一次。毫無疑問這樣的時間差可謂是天壤之別，也就難怪這些站長們都不樂意了。