我們有時會被問到為什麼我們只提供有效期為九十天的憑證。問這個問題的人通常擔心九十天太短,並希望我們能像其他憑證授權單位一樣提供有效期為一年或更久的憑證。

九十天在網路上並不是什麼新鮮事。根據 Firefox 遙測數據,29% 的 TLS 交易使用有效期為九十天的憑證。這比任何其他有效期都多。從我們的角度來看,這種短憑證有效期有兩個主要優勢:

  1. 它們限制了金鑰洩漏和錯誤頒發造成的損害。被竊的金鑰和錯誤頒發的憑證在較短的時間內有效。
  2. 它們鼓勵自動化,這對於易用性絕對至關重要。如果我們要將整個網路遷移到 HTTPS,我們不能繼續期望系統管理員手動處理續訂。一旦頒發和續訂實現自動化,較短的有效期不會比更長的有效期不方便。

基於這些原因,我們不提供有效期超過九十天的憑證。我們意識到我們的服務還很新,而且自動化對許多訂閱者來說是新的,因此我們選擇了一個允許在必要時有充足時間進行手動續訂的有效期。我們建議訂閱者每六十天續訂一次。一旦自動續訂工具被廣泛部署並運行良好,我們可能會考慮更短的有效期。