为什么SSL证书要设有效期?

SSL证书设置了有效期,过期需要renew; 能否设置成永久有效呢?这里面有商业原因吗,谢谢。
关注者
39
被浏览
7,691

5 个回答

最重要的原因在于吊销。当网站的私钥丢失时,网站应该向证书颁发机构(CA)申请将他们的证书加入到证书吊销列表(CRL)里。当用户访问https站点时,浏览器会自动向CA请求吊销列表,如果用户访问的站点提供的证书在CRL里,浏览器就不信任这个证书,因为攻击者可能拥有同样的证书。


所以如果证书永久有效,随着越来越多的私钥丢失,吊销列表也越来越大(因为只有加进去的,没有剔出去的),这既给CA增加流量压力,也会增加浏览器的流量。而一旦有效期只有几年,那么CA就可以将那些已经过期了的证书从CRL里剔除,因为反正浏览器也不信任过期证书。

首先是为了安全考虑,CA机构不能保证一个网站永远是合法的,因此它需要定期检查网站。

其次,以往CA证书都非常贵,签发证书的机构通过设置期限来收费,是一种商业途径。

最后,还有最重要的原因就是吊销。

当网站的私钥丢失时,网站应该向证书颁发机构(CA)申请将他们的证书加入到证书吊销列表(CRL)里。当用户访问https站点时,浏览器会自动向CA请求吊销列表,如果用户访问的站点提供的证书在CRL里,浏览器就不信任这个证书,因为攻击者可能拥有同样的证书。所以如果证书永久有效,随着越来越多的私钥丢失,吊销列表也越来越大,因为只有加进去的,没有剔出去的,这既给CA增加流量压力,也会增加浏览器的流量。而一旦有效期只有几年,那么CA就可以将那些已经过期了的证书从CRL里剔除,因为反正浏览器也不信任过期证书。

目前最流行的Let's encrypt签发的免费SSL证书,有效期也设置为90天。




Easy HTTPs软件,是上海哲涛科技研发的可以快速申请Let's encrypt SSL证书的软件。一键式生成,只需几分钟,无需复杂的配置,就可以快速申请到let's encrypt签发的免费SSL证书。

90天有效期到期后,Easy HTTPs软件会自动更新下载证书,无需人工操作,方便省心。



快速申请SSL/HTTPS证书

Easy backup软件 快速申请SSL\HTTPS证书