SSL證書為什么不能長期有效？

關注SSL證書的朋友應該都知道SSL證書的有效期一直在縮短，從2018年3月1日起，SSL證書最長期限設置為825天，這一新規延續了不到兩年，就在2020年2月蘋果在CA/B論壇的會議上宣布，將不再信任2020年9月1日之后簽發的有效期超過398天的SSL證書。隨后，谷歌、火狐等瀏覽器廠商也表示遵循這一原則。

因此，各大證書頒發機構也紛紛宣布，2020年9月1日開始，將不再簽發有效期超過398天的證書，證書的最長有效期將縮短為13個月。那么問題來了，為什么SSL證書不能長期有效呢？主要有以下幾個原因：

1）不能保證一個合法網站永遠不會成為一個釣魚站點；

2）永久有效的證書導致CRL不斷增加，會增加瀏覽器的請求流量壓力；

3）有效期對保護證書安全性是基于PKI技術的數字證書，結合公鑰加密算法、對稱加密算法、散列算法等密碼技術，用于實現認證、加密、簽名等安全功能。

4）沒有合理設置SSL證書有效期，會造成極大的安全威脅。自簽名SSL證書為例，自簽名SSL證書不受國際標準制約，可以把有效期設置為10年甚至20年。自簽名證書長期未更新，仍在使用非常不安全的1024位RSA算法和SHA-1簽名算法。超長的有效期和脆弱的加密算法，讓黑客擁有足夠的時間和算力破解證書的加密密鑰，造成嚴重后果。

5）CA機構必須重新驗證身份信息，確保身份認證信息是最新的，并仍然擁有該域名。

目前國內性價比很高安全https服務商，大家也可以去訪問看看。

JoySSL-專業https安全服務商! 提供SSL證書申請_ssl證書購買_https加密安裝服務