自从Google表示Chrome浏览器将不接受10月31日之后颁发的entrust证书以来，我们收到了许多关于证书服务的问题。这个网站提供了常见问题的答案，我们鼓励您关注这个空间的更新。

entrust是致力于返回到Chrome根商店。我们已经确定了应对谷歌决定的步骤。我们将继续执行我们的改进计划，并与浏览器社区密切合作，讨论我们的前进道路。    

以下是客户需要知道的:

在10月31日之前颁发的entrust证书将在其到期日(最多398天)之前继续被接受。我们鼓励客户在该日期之前像往常一样继续订购证书。
从2024年11月1日起，客户可以继续申请公共TLS证书，并直接从entrust获得证书服务，使用由满足Google、CA/浏览器论坛和委托要求的CA合作伙伴颁发的公共TLS证书。
我们已经宣布SSL.com现在是一个entrust合作伙伴。SSL.com是一个全球性的认证机构，成立于2002年，浏览器无处不在。它们被180多个国家的企业和政府用于保护内部网络、客户通信、电子商务平台和网络服务，我们很高兴与他们合作，以满足您的需求。

谷歌宣布，从2024年11月1日开始，它将在Chrome浏览器中屏蔽使用entrust证书的网站，理由是合规失败和证书颁发机构无法及时解决安全问题。

谷歌的Chrome安全团队表示:“在过去的几年里，公开披露的事件报告突显了entrust公司的一种令人担忧的行为模式，这些行为达不到上述预期，并削弱了人们对其作为公众信任的(证书颁发机构)所有者的能力、可靠性和完整性的信心。”

为此，这家科技巨头表示，它打算不再信任从默认Chrome浏览器版本127及更高版本开始的entrust证书。不过，谷歌表示，如果Chrome用户和企业用户愿意，他们可以撤销这些设置。

此前阿里云和腾讯云以及其他平台都已经陆续发布通知，原本由天威诚信和亚洲诚信 (中级 CA) 提供的免费 SSL 证书有效期为 1 年，调整后证书有效期为 90 天，也就说网站必须在 90 天重新前往云平台续签证书并更新
调整后实际上对国内网站来说这些免费证书的最大优势已经没了，Let’s Encrypt 提供的免费证书也是 90 天并且提供完善的工具可以自动化申请和续签。

今天腾讯云正式按照新政策执行，据腾讯云发布的产品公告，自 2024 年 4 月 25 日 0 时起新申请的免费证书均为 90 天有效期，之前已经签发 1 年期证书则继续有效。

缩短证书有效期的同时，腾讯云还修改了免费 SSL 证书的各种限制和配额：

1. 企业账号的免费 SSL 证书配额从 10 份提高到 50 份
2. 个人账号的免费 SSL 证书配额维持 50 份不变
3. 通过腾讯云平台申请的免费 SSL 证书可以绑定任意域名，不再区分腾讯云域名还是其他平台域名
4. 免费 SSL 证书取消域名额度限制，原一个主域名最多可以申请 20 个子域名证书，即日起取消。

尽管这些云平台仍然提供免费 SSL 证书申请，不过考虑到都只有 90 天，建议开发者们不如直接使用 Let’s Encrypt，提前部署好自动化策略后基本就可以不用管了。

当然最好再搭建个 Uptime Kuma 进行证书监测，如果发现证书有效期低于 15 天说明自动化续签流程可能出问题了，此时开发者再人工干预一下即可。

比如预测市场 Polymarket 上关于 LayerZero 是否即将空投的预测中“yes”已压过了“no”；再比如基于 LayerZero 构建的上层应用 Tapioca 宣布将于 12 月 12 日进行重大更新，而该项更新的前提条件是依赖于 ZRO 进行去中心化验证；再比如与 LayerZero 团队关系莫逆的 Pudgy Penguins 首席执行官 Luca Netz 直接在 X 上喊话“已经等不及 ZRO 了”。
不过综合来看，最直观、热度最高的迹象则是暂未投入使用的「layerzero.foundation」 域名于 11 月 3 日添加了 SSL 证书。鉴于「layerzero.foundation」域名与已确定归属于 LayerZero 项目的「layerzero.network」域名过往的更新频率高度一致，所以社区猜测该域名同属 LayerZero 项目管理。

国外科技媒体 betanews 近日发表评论文章，表示谷歌凭借着 Chrome 在桌面浏览器的主导地位，完全可以强制推行该策略，并逐渐普及到所有浏览器中。

而对于使用 TLS 证书的企业（即所有将服务连接到互联网的企业）来说，如果现在不采取相关有效的应对措施，既有可能导致网站链接失效的问题。

IT之家注：TLS 证书是一种机器身份，确保系统能够在互联网上安全地相互通信。如果网站在过期前不重新签发或更换证书，就会停止工作，导致代价高昂的中断、破坏和更大的安全风险，用户访问就会出现“无法连接到不受信任的网站”错误。

不断缩短证书有效期

2018 年，证书有效期从 5 年缩短到 2 年，2020 年又缩短到 13 个月。通常来说较短的生命周期有利于网络安全，其原因有以下几点：

如果威胁行为者设法获得了被盗或被泄露的证书，他们利用该证书的机会窗口就会变小。

较短的生命周期还能鼓励更有规律地轮换密钥，简化撤销管理。

企业继续使用过时加密算法的风险更小。

鼓励企业减少对单一证书颁发机构（CA）的依赖。

缩短至 90 天的额外负担

90 天有效期可能会给安全团队带来巨大的额外负担。鉴于最佳实践建议在证书到期前 30 天进行更新，这就需要每年轮换六次 TLS 证书，而现在只需要 1 次。如果不能找到并更换所有证书，可能会导致重大服务 / 应用中断。

随着 TLS / SSL 证书数量的不断激增，这一负担将更加沉重。随着证书数量的不断增加，与机器身份管理相关的复杂性也将随之增加。

同时，对云服务和云的依赖性增加，让 90 天证书的相关问题更加复杂，包括了解哪些证书会过期以及如何更改。

研究显示，截至 2021 年底，每家企业的机器身份平均数量接近 25 万个，预计每年将增长 42%。对于员工人数超过 10,000 人的组织而言，这一数字在 2022 年初上升到 32 万个机器身份，到 2025 年可能翻两番，达到 130 万个。

将这一数量与管理有效期缩短所带来的额外负担相乘，就会导致安全风险和中断不断上升。