Apple提议将SSL证书有效期缩短为45天

SSL/TLS证书的有效期一直在缩短。2017年，证书的最大有效期从1185天（约39个月）缩短到825天（约27个月），当时人们认为这是SSL证书发展中的一大转变。

而在接下来的几年里，证书的有效期还在持续缩短，现在Apple提出将SSL/TLS证书的有效期缩短至45天，说实话还挺“夸张”的。

为什么缩短证书有效期？

1：避免密钥泄露的风险

理论上，证书的生命周期越短，即使密钥泄露，恶意攻击者能利用的时间窗口也会更小，不过根本的问题还是要找到泄露的原因，比如服务器被攻击了。

2：吊销复杂度与成本

另一个经常提到的原因是，证书吊销机制的复杂性和成本较高。传统的CRL和OCSP（现在也逐步废弃了）往往被认为效率不够高，尤其是当证书泄露需要紧急吊销时，整个流程可能会很复杂。

更深层次的好处其实是算法的发展，缩短证书有效期最合理的原因是为了应对加密算法的进步。因为好的算法更安全，缩短证书有效期可以促使网站更快地采用更新、更安全的加密算法。

但实际操作起来并不容易，新算法需要时间测试，类似这样的工程大部分组织积极性可能并不高。

其实缩短有效期最不爽的是运维，将带来巨大的工作量，尤其是那些依赖手动更新证书的组织，虽然现在由ACME这样的工具自动更新，但普及度并不高，这种高频次的更新需求可能会成为其运维中的“噩梦”。

目前免费Let's Encrypt证书的有效期是90天，我觉得相对是合适的。