為什麼SSL證書要設有效期?
SSL證書設置了有效期,過期需要renew; 能否設置成永久有效呢?這裡面有商業原因嗎,謝謝。
最重要的原因在於吊銷。當網站的私鑰丟失時,網站應該向證書頒發機構(CA)申請將他們的證書加入到證書吊銷列表(CRL)里。當用戶訪問https站點時,瀏覽器會自動向CA請求吊銷列表,如果用戶訪問的站點提供的證書在CRL里,瀏覽器就不信任這個證書,因為攻擊者可能擁有同樣的證書。
所以如果證書永久有效,隨著越來越多的私鑰丟失,吊銷列表也越來越大(因為只有加進去的,沒有剔出去的),這既給CA增加流量壓力,也會增加瀏覽器的流量。而一旦有效期只有幾年,那麼CA就可以將那些已經過期了的證書從CRL里剔除,因為反正瀏覽器也不信任過期證書。
首先是為了安全考慮,CA機構不能保證一個網站永遠是合法的,因此它需要定期檢查網站。
其次,以往CA證書都非常貴,簽發證書的機構通過設置期限來收費,是一種商業途徑。
最後,還有最重要的原因就是吊銷。
當網站的私鑰丟失時,網站應該向證書頒發機構(CA)申請將他們的證書加入到證書吊銷列表(CRL)里。當用戶訪問https站點時,瀏覽器會自動向CA請求吊銷列表,如果用戶訪問的站點提供的證書在CRL里,瀏覽器就不信任這個證書,因為攻擊者可能擁有同樣的證書。所以如果證書永久有效,隨著越來越多的私鑰丟失,吊銷列表也越來越大,因為只有加進去的,沒有剔出去的,這既給CA增加流量壓力,也會增加瀏覽器的流量。而一旦有效期只有幾年,那麼CA就可以將那些已經過期了的證書從CRL里剔除,因為反正瀏覽器也不信任過期證書。
目前最流行的Let"s encrypt簽發的免費SSL證書,有效期也設置為90天。
Easy HTTPs軟體,是上海哲濤科技研發的可以快速申請Let"s encrypt SSL證書的軟體。一鍵式生成,只需幾分鐘,無需複雜的配置,就可以快速申請到let"s encrypt簽發的免費SSL證書。
90天有效期到期後,Easy HTTPs軟體會自動更新下載證書,無需人工操作,方便省心。
快速申請SSL/HTTPS證書
Easy backup軟體 快速申請SSLHTTPS證書
除了越來越大的CLR或OCSP伺服器壓力之外還有一個因素就是CA機構不能保證一個網站永遠是合法的,因此它需要定期檢查網站。
最主要的還是從安全性上面來考慮的,
CA都是要按時間收費的呀,如果沒有有效期限制,拿什麼收錢?
推薦閱讀:
TAG:SSL證書 |