三年有效期SSL证书将于2018年3月1日下架

自2018年3月1日起，三年期SSL证书将无法购置，该变化是由证书颁发机构和浏览器厂商论坛CAB Forum制定的。

如果你用了很久的SSL证书，你或许知道以前还有五年期证书。然而随着互联网的发展和加密方式的变迁，每五年换一次证书会让你的网站在各种新型攻击下变得脆弱不堪。

于是为了用户安全，浏览器厂商不断地压缩证书有效期的周期。更新证书是很有必要的，它不仅保证了您的安全实施是最新的，还告诉CA们您的网站仍值得信赖。

虽然缩短证书有效期怎么看都像是CA想让客户多花钱，但成天想着把周期压到90天的却是谷歌。但无论何时，经常性地替换证书从保障安全的角度来说永远都是最重要的。

试想五年前，我们用的密钥套件是哪一款？SHA-1啊！一款被吐槽了N年的不安全的密钥套件。虽说现在所有老证书都不得不由于SHA-1的原因重新签发，但这正应证了本文的观点——越旧的证书越没保障。

需要重现签发证书的另一个原因是CA必须重新验证你。这可以确保您的信息是最新的，并且您仍然有权为您的域名颁发证书。 请记住，浏览器正在向用户表明他们可以信任与您的网站的连接，因为您已经受到可信第三方的审查。 就像驾驶执照一样，您偶尔也必须与第三方办理登机手续，以确保所有内容都是最新的。

所以，从3月1日开始，两年是您使用任何SSL证书所能获得的最长使用期限。 这一改变不影响EV证书，因为介于EV SSL收到的信任级别（唯一的绿色指标），两年本就是其最高年限。

具体的办法如下

如果您的SSL证书在2018年3月1日前签发，您的证书有效期将不受影响

所有2018年3月1日之后签发的证书，最高有效期仅2年（825天）

DV和OV证书只能用825天

过了825天，CA 要重新对你进行验证。而且这也是追溯性的，所以无论你现在的证书是多么旧，它都是在825天内计算的。 由于日期将近，验证过程中涉及的时间可能有所增加，因为CA将被迫更频繁地重新验证。

什么情况下

需要重新签发证书呢？

给证书添加新域名的时候

给证书移除老域名的时候

给证书换一个域名的时候

更改组织信息的时候

证书发重的时候

如果您正计划在接下来的三年里做以上的调整，换一张两年期证书并及早更新它即可。

最后，CAB论坛还有一些关于删除某些域名控制验证方法（如Whois查询）的喋喋不休的问题。有兴趣的读者可戳https://cabforum.org/ 查看。