国密SSL证书有效期到底应该有多长？
2023年8月8日

有用户反映，零信浏览器升级到114版本后原先97版本正常显示国密加密 标识的中国银行网银网站显示为“不安全”了，在线咨询客服怎么回事，笔者作为零信浏览器的总设计师特撰文讲一讲这个问题，这个问题与114版本无关，这是一个关于国密SSL证书有效期到底应该有多长的技术问题，也是一个零信技术参与制定的相关国密标准中的待定的问题，笔者认为有必要好好讲一讲这个问题的历史与未来，以期不仅能解答用户的问题，而且能给制定国密SSL证书标准中的证书有效期讨论抛砖引玉，有利于业界达成共识。

如下左图所示，这是零信浏览器在内核升级之前显示的中国银行网银系统用户界面，而右图为升级到Chromium 114内核后显示的界面，由绿色地址栏变成了“不安全”，其实这与内核版本升级没有任何关系，只是与这次升级改变了UI显示规则有关。这个由正常显示变成了“不安全”显示是由于这张国密SSL证书有效期为3年，2025年7月12日到期，而零信浏览器这次升级修订了关于国密SSL证书有效期的验证规则，把原先允许国密SSL证书有效期超过1年改为遵循国际标准的不能超过13个月，这样大家就在新版本零信浏览器看到了“ERR_CERT_VALIDITY_TOO_LONG”(证书有效期太长)的安全警告，这是Chromium默认的显示为“不安全”规则，只是原先的97版本在处理国密SSL证书时做了特殊处理，而升级后的114版本不再保留这个特殊处理。

那么，为何国际标准要把SSL证书有效期确定为不超过13个月？为何谷歌又开始推动把证书有效期缩短为90天？这是本文重点要讲的问题。

2023年3月3日，谷歌宣布推动SSL证书有效期缩短到90天，笔者预计正式生效时间点会在2024年的下半年的某一天。大家可以看出，从允许3年到2年用了3年时间，从2年变成1年用了2年半时间，而从1年变成三个月(90天)估计用时4年，到了90天后，一定还会在某一天缩短到96小时(4天)(短期证书)。

为何国际标准一直在不断地缩短SSL证书的有效期？这与SSL证书的使用场景和全球算力的不断提升有关，SSL证书的公钥是公开可见的，任何人或组织都有可能利用其强大的算力试图破解SSL证书的密码算法反推出证书私钥，从而达到破解HTTPS加密流量的目的。而有效期越短，则给攻击者暴力破解的时间就越短，证书密钥就越安全。为此，虽然用户都希望获得有效期很长的证书，以简化SSL证书的管理，但是为了保证证书密钥安全，国际标准组织CA/浏览器论坛成员单位还是在不断地推动缩短SSL证书有效期，因为全球算力在不断增长中，特别是现在的云计算和量子计算发展非常迅猛。

上面讲了这么多缩短SSL证书有效期的好处，当然这对网站管理员来讲的确不是一个好消息，网站管理员需要省时省事，当然是希望拿到的证书有效期越长越好，但是对于网站安全来讲，证书有效期就是越短越安全，特别是在后量子时代。这就需要掌握一个平衡点，大家也能从SSL证书有效期的不断缩短时间线也能看出这种平衡，是慢慢不断向短推进的过程。所有网站管理员应该做的事情是尽快为90天有效期的到来做好充分的准备，这就是为何零信技术投入巨大研发力量研发了 国密HTTPS加密自动化管理三大解决方案 的原因，在90天证书有效期到来之前做好技术准备，为用户提供三个可选的解决方案，让用户可以比现在的一年安装一次证书更省事和更省心，只有这样才能让用户能接受不断缩短的证书有效期，做到省事和安全两不误。

那么，国密SSL证书有效期到底应该有多长呢？零信浏览器对超过1年有效期的国密SSL证书给出了“不安全”警示就是我们给出的答案。零信浏览器会参考国际标准同步对不符合国际标准对SSL证书有效期的要求的国密SSL证书采用一样的处理方式，以保证国密https加密的安全，保障部署了国密SSL证书的网站安全。

最后讲一下用于内网的SSL证书的有效期问题，前面讲过SSL证书有效期的不断缩短时间线是一个平衡密钥安全和使用便利的过程，而考虑到内网是同互联网隔离的，很难实现证书自动化管理。所以，笔者认为：用于内网HTTPS加密用的SSL证书可以适当放宽证书有效期，因为内网不是公网，其公钥证书遭遇暴力破解的可能性大大降低，适当放宽证书有效期可以在保证密钥相对安全的情况下方便了内网SSL证书的部署使用，使得原先明文传输的内网能实现更加安全的内网流量https加密，从而有效保障内网流量安全。

有诗为证：