我们经常被问到为什么只提供 90 天有效期的证书。提出这个问题的人通常担心 90 天太短,希望我们能像其他 CA 一样提供有效期为一年或更长时间的证书。

90 天在 Web 上并不罕见。根据 Firefox Telemetry,29% 的 TLS 事务使用 90 天有效期的证书。这比其他任何有效期都多。从我们的角度来看,这种短的证书有效期有两个主要优势:

  1. 它们可以限制密钥泄露和错误颁发造成的损害。被盗密钥和错误颁发的证书的有效期更短。
  2. 它们鼓励自动化,而自动化对于易用性至关重要。如果我们要将整个 Web 迁移到 HTTPS,就不能继续指望系统管理员手动处理证书续期。一旦颁发和续期实现自动化,较短的有效期与较长的有效期一样方便。

出于这些原因,我们不提供有效期超过 90 天的证书。我们意识到我们的服务还很年轻,自动化对许多订阅者来说还是一个新事物,因此我们选择了 90 天的有效期,这样如果有必要,可以有足够的时间手动续期。我们建议订阅者每 60 天续期一次。一旦自动续期工具广泛部署并正常运行,我们可能会考虑更短的有效期。