从9月1日开始，Apple的Safari浏览器将不再信任有效期超过398天的SSL / TLS叶子证书。（这相当于一年的证书加上续保宽限期。）其他类型的SSL / TLS证书（包括中间件和根）均不受影响。

苹果公司在2月19日举行的CA /浏览器论坛（CA / B论坛）面对面会议上宣布了单方面决定，该论坛是行业标准组织，主要由证书颁发机构和一些主要的浏览器组成。

尽管我们在Apple的任何地方都没有正式发布过有关此更改的信息，但我们能够与参加会议的一些CA合作伙伴验证此信息。好消息是，这种变化并不令人感到意外，并且SSL行业已为此做好了准备-因此不会对客户或服务提供商产生任何重大影响。

那么，这里到底发生了什么？而且，更重要的是，这对您，SSL / TLS证书的用户或卖方意味着什么？

让我们对其进行哈希处理。

有效期短是件好事吗？

我们知道，这种倡议的出现只是时间问题。去年，我们写了关于一年证书有效期如何重新回到CA / B论坛的选票上的文章。这里的想法是SSL / TLS叶子证书的有效期越短，证书越安全。

多年来一直存在这样的争论，为什么浏览器希望将SSL / TLS证书的最大有效性限制为1年。从理论上讲，通过要求在较短的期限后更新SSL / TLS证书，可以：

对证书进行任何安全更新后，它们就会更快地发布。从理论上讲，它还可以通过确保定期生成新密钥来使网站更安全。SSL / TLS叶子证书过去的最长有效期为五年（对于域和组织验证的证书）。但是，最终遭到了折衷，导致证书的有效期缩短到最长三年，然后，所有SSL / TLS叶子证书的有效期被限制为两年。

去年，Google的Ryan Sleevi 在CA / B论坛上进行了投票，该投票要求SSL / TLS证书的有效期最长为一年。该计划最终失败了，但看起来苹果已经选择了谷歌在为缩短效期而奋斗的地方。

今天，Sectigo的Tim Callan在他的LinkedIn页面上发布了以下内容：

老实说，我们知道这一举动只是时间问题。我们只是想知道是Google还是Mozilla迈出了第一步。但是，无论谁先采取行动，您都应该了解一些事情。

这对您的网站和客户意味着什么？

Safari是Internet上两种领先的Web浏览器之一。截至2020年1月，W3Counter列出Safari浏览器的市场份额为17.7％。仅次于Google Chrome（58.2％），领先于Microsoft Internet Explorer和Edge（7.1％）。因此，您可以想像到，您想确保Safari信任您的网站以及客户的网站。

网站管理员需要知道什么

本质上，在2020年9月1日之前发行的所有SSL / TLS证书均不受此更改的影响。它们将在整个两年内保持有效（除非撤销任何无关的证书），并且无需进行修改或替换。但是，9月1日或之后发布的所有证书都需要每年进行续签，以保持Safari的信任。

这意味着您将要简化和改进现有的证书管理实践。对于较大的组织，部分地，这需要使用可靠的证书管理解决方案，而不再依赖手动证书管理。

经销商需要知道什么

简而言之，您可以继续颁发为期两年的证书，直到2020年8月31日为止，客户可以使用这些证书直到到期。但是，在该日期之后颁发的所有证书都必须具有一年的有效期才能对Safari保持有效。

这意味着您出售的任何两年期证书都需要在一年后重新签发，以便继续受到浏览器的信任。

新选项：多年订阅SSL

幸运的是，领先的CA看到了墙上的文字。他们决定创建新的证书生命周期自动化选项和订阅计划，以使证书管理更容易，从而缩短证书生命周期。

一些CA宣布了购买/实施SSL的新选项。Sectigo几个月前推出了SSL订阅计划，DigiCert将于9月之前推出其多年计划。借助这些基于订阅的多年期SSL服务，网站管理员可以购买更长的保险期限，并在允许的最大有效期限内根据需要多次重发其证书。

此选项有一些好处：

成本：它允许客户继续获得多年的价格折扣，从而节省了资金，并且时间：客户只需要购买一次订购，五年就不必担心（如果需要获得会计部门批准的购买，则特别有用）。因此，基本上，客户可以购买SSL保修期较长的时间（例如5年），然后每年仅需重新颁发证书以进行更新即可，同时节省了金钱和时间。听起来每个人都是双赢。

只是时间问题，我们才能看到其中一种浏览器对这种类型的证书有效期为一年的推送。一旦一个浏览器采取行动，这意味着所有CA将把其证书从两年更改为一年，而与其他浏览器的工作无关。

我们也不担心，您也不应该。Apple的这一举动不会让您陷入客户或转售商的困境，因为CA已经采用了可以提供帮助的解决方案。有了SSL订阅计划和证书管理解决方案，这将是一个非常简单的过渡，有望实现预期的效果-更高的网站安全性和改进的证书管理。