从现在开始,新的TLS证书的寿命将从之前的27个月(825天)最长寿命限制为398天(一年多一点)
为了提高安全性,Apple,Google和Mozilla将拒绝在其各自的Web浏览器中公开创建的数字证书,这些证书自其创建之日起已失效13个月(或398天)。
在过去十年中,SSL / TLS证书的寿命已大大缩短。2011年,由证书颁发机构和浏览器软件供应商组成的联盟证书颁发机构浏览器论坛(CA / Browser Forum)规定了5年的限制,使证书的有效期从8-10年缩短。
随后在2015年将其缩短为三年,到2018年又缩短为两年。
尽管去年9月的一次投票中否决了将TLS / SSL寿命减少到一年的提议,但该措施得到了苹果,谷歌,微软,Mozilla和Opera等浏览器制造商的压倒性支持。
然后在今年2月,苹果成为第一家宣布打算拒绝在9月1日或之后发布的有效期超过398天的新TLS的公司。从那时起,Google和Mozilla都效仿了类似的398天限制。
对于在生效日期之前颁发的证书,也不会影响从用户添加或管理员添加的根证书颁发机构(CA)颁发的证书。
苹果在支持文件中解释说:“违反这些新要求的TLS服务器连接将失败。” “这可能会导致网络和应用失败,并阻止网站加载。”
对于Google而言,它打算以错误“ ERR_CERT_VALIDITY_TOO_LONG”拒绝违反有效性条款的证书,并将其视为错误签发。
此外,某些SSL证书提供商(例如Digicert和Sectigo)已经停止颁发有效期为两年的证书。
为避免意外后果,Apple建议颁发证书的最长有效期为397天。
新的证书过期时间限制对Mobile Debug有啥影响
旧版本的Mobile Debug在生成域名测试证书时,证书开始时间为当前年份的1月1日(如现在还是2020年,则为2020/1/1),过期时间为825天.
由于上述提到的新策略仅要求2020/9/1后的新证书遵守新的过期时间规范,故在2021/1/1前,旧版本Mobile Debug仍可使用,但是在2021/1/1后则可能引发网络异常.
请升级Mobile Debug到最新版
我们在最新版中调整了域名证书的生成策略,现在,域名证书的过期时间将被修改为生成证书时的时间前1个月,过期时间为365天(如当前时间为2020/12/28,则新证书过期时间为2020/11/28-2021/11-28)