文章作者负责公司SSL证书的审批，随着证书管理任务频率增加，管理负担加重。尽管理解证书在数字安全中的重要性，但作者认为当前的管理要求过于繁琐，可能导致企业逐渐远离传统证书颁发机构。过去便捷的验证方法已被限制，进一步增加了管理复杂性。

SSL证书要求正变得令人难以忍受

作为公司负责审批SSL证书的人员，我过去几年建立了一套高效的工作流程。尽管证书审批任务从每季度或每半月一次变为每月甚至每周一次，但我的利益相关者已经熟悉了各自的职责，审批过程相对顺利。然而，随着证书在数字安全中的重要性日益增加，管理这些证书的行政负担也在不断加重，这让我感到不堪重负。

验证机制的简化与挑战

过去，我们的证书颁发机构（CA）提供了多种便捷的验证方法。然而，自2021年起，文件基础的域名验证（file-based domain validation）被禁止用于通配符证书，且对于非通配符证书，每个SAN/FQDN都需要单独验证。虽然文件验证的安全性较低，但这一变化仍带来了不小的麻烦。目前，我们仅剩两种验证方法：DNS TXT记录和基于邮件的验证。后者几乎无用，因为我们不会为每个子域名设置专门的邮箱。

防御劫持与欺骗的新要求

为了应对BGP劫持和DNS欺骗攻击，DigiCert等CA将引入多视角验证（MPIC）机制。虽然这一措施理论上能降低证书误发的风险，但其实施的复杂性和对组织的影响令人担忧。此外，CA在通知这些重大变更时，往往只提前几周，这对我们与利益相关者之间的信任关系造成了损害。

证书有效期的缩短

最令人头疼的变化是证书有效期的不断缩短。目前，证书的有效期为397天，但到2029年3月15日，SSL证书的最长有效期将缩短至47天。这一变化无疑将增加我们的工作负担，尤其是对于那些资源有限的IT部门而言。

经济影响与业务转移

面对这些挑战，许多组织可能会选择将证书管理业务转移到提供证书管理服务的平台，或使用免费的CA如Let's Encrypt。尽管这些平台可能需要额外费用，但相比手动管理证书的复杂性和成本，这无疑是一个更优的选择。

总结

这些验证机制的调整和证书有效期的缩短虽然在理论上提高了安全性，但其对组织运营的实际影响却不容忽视。对于资源有限的组织而言，这些变化可能会迫使他们寻找更高效的证书管理解决方案，甚至放弃传统的CA服务。最终，这些变化是否真正提升了互联网的安全性，仍是一个值得深思的问题。

评论主要围绕SSL证书的有效期缩短、自动化管理、以及相关流程的复杂性展开，观点多样且存在争议。以下是总结：

支持缩短有效期和自动化管理的观点： 1. 强制自动化：缩短证书有效期（如47天或6天）是为了推动自动化，减少人为错误和手动操作。自动化工具如ACME、certbot等已经成熟，能够简化证书管理流程。 - "It is short enough to force teams to automate the process."（xnorswap） - "Automation is the way. The system is working!"（mholt）

2. 减少风险：短有效期可以避免证书吊销列表（CRL）和OCSP的复杂性，直接通过证书本身提供必要信息，降低安全风险。

   • "So the obvious solution was just to make cert lifetimes really short."（dale_glass）

3. 云服务的便利性：云平台（如Azure）已经提供了自动化的证书管理服务，减少了企业的负担。

   • "With Azure-hosted sites, I find it's significantly easier to have Microsoft perform all certificate management for us."（gwbas1c）

反对或质疑缩短有效期的观点： 1. 自动化不完善：自动化工具在某些场景下（如通配符证书）仍存在技术难题，且并非所有企业都能轻松实现自动化。 - "Automated renewal is... probably about a decade or two from being supported well enough to be an actual answer."（ocdtrekkie） - "The one complaint that I think is valid is that automating wildcard certificates at the moment is really tricky."（the_mitsuhiko）

2. 遗留系统和手动流程：许多企业仍依赖手动流程和遗留系统，短期内难以适应自动化要求，导致额外负担。

   • "I think the organisations defining this has missed just how much legacy and manual processes are out there."（xnorswap）

3. 成本和复杂性：自动化需要额外的资源投入，包括代码审查、监控和密钥管理，对小企业或资源有限的团队来说可能不切实际。

   • "It may be a non-trivial effort to automate, then secure/document/maintain the automation."（bell-cot）

其他相关观点： 1. 内部CA的可行性：对于内部服务，使用内部CA可以简化证书管理，减少对公共CA的依赖。 - "I think a large enough org that needs many different certificates should have an internally-trusted CA."（azeemba）

2. 证书透明度的副作用：证书透明度日志（CTL）导致新域名上线后立即面临大量机器人流量，增加了低流量站点的负担。

   • "Certificate transparency logs mean that you now have to effectively centrally register any new domain you put online."（ollybee）

3. 对开发者的影响：证书有效期缩短增加了开发者的维护成本，尤其是需要定期更新开发证书和重新编译应用。

   • "If your 'developer certificate' for app stores and ad-hoc distribution is valid for a year, then every year you must pay a 'developer program fee'."（stblack）

总结：缩短SSL证书有效期的政策旨在推动自动化和提高安全性，但在实际应用中，自动化工具的局限性、遗留系统的复杂性以及资源投入的挑战使得这一政策对部分企业造成了额外负担。