SSL/TLS加密協議是目前互聯網上最重要的基礎設施之一,若沒有數據加密的話或許互聯網的發展也不會這麼快。數據加密目前最常見的就是HTTPS傳輸層安全協議，通過SSL/TLS數字證書確保使用者與發送者的信息不被竊取。數字證書最初有效期長達10年，不過在過去10年里數字證書的有效期已經被大幅縮短, 從8年降到5年再到2年等。

而從2020年9月1日起數字證書的有效期最長只能398天(13個月) , 為什麼數字證書的有效期會被不斷地進行縮短？

新簽發證書有效期最長398天：

按頒發機構/瀏覽器論壇討論後的最新規定, 從9月1日起新簽發的數字證書有效期最長不得超過398天即13個月。

如果證書起始日期超過這個規定的話則瀏覽器不會信任，瀏覽器不信任的結果就是直接拒絕網頁加載無法瀏覽等。

例如超過日期的證書在谷歌瀏覽器上顯示ERR_CERT_VALIDITY_TOO_LONG 錯誤，這說明證書有效期超過限制。

谷歌瀏覽器將這種錯誤視為是證書籤發錯誤即無效的數字證書，當然谷歌瀏覽器也會拒絕加載不允許用戶瀏覽等。

每次頒發機構和瀏覽器論壇討論降低證書有效期都是基於安全考慮的，實際上這些多數都是瀏覽器開發商提出的。

就目前來說瀏覽器開發商們更強勢因此證書頒發機構基本只能聽著，頒發機構們其實更希望能夠簽發更長的證書。

證書時間長短與安全性有何關係：

頒發機構們希望簽發更長的證書是因為可以一次性收更多的費用，畢竟如果是一年的話到期客戶不一定繼續續費。

但瀏覽器開發商們擔心數字證書遭到洩露和濫用，如果證書公鑰和私鑰洩露的話可能會造成釣魚欺詐等網絡攻擊。

如果將證書有效期縮短的話那麼證書洩露後到期就會過期無法使用，如果是十年的證書那十年才過期實在太長了。

當然證書有效期縮短意味著網站維護者需要更頻繁的更換證書，事實上現在每年都有因為證書過期導致的宕機等。

比如Microsoft Teams前段時間就因為忘記續期證書導致大量用戶無法登錄，光大銀行網銀前幾天也過期忘記換。

善用證書吊銷工具會更好：

比起縮短證書有效期其實更重要的是善用吊銷工具，通常發現證書洩露後應該立即聯繫頒發機構對證書進行吊銷。

吊銷後所有瀏覽器和操作系統只要聯網就會立即不信任被吊銷的證書，這種情況比證書洩露後慢慢等過期更好些。

當然前提是你得知道自己的證書洩露才能去吊銷，可能更多的是證書被盜仍然不知情於是也不太可能去主動吊銷。

此前國內就有家知名公司被人冒名刻章申請數字證書，申請的數字證書用來簽發惡意軟件和病毒進行網絡攻擊等。

因此除縮短證書時間、加強證書安全保護和善用吊銷工具外，對證書頒發機構本身也需要加強監管才能安全無虞。