在上一次的CA/浏览器论坛会议中，Chrome概述了其对未来的Web PKI策略的愿景，此愿景名为“共同前进（Moving Forward, Together）”。值得注意的是，Chrome的愿景包括90天的证书有效期，我们已经在另一篇文章中对此进行了深入探讨。然而，Chrome的愿景中还包含客户需要了解的其他策略建议，包括根证书颁发机构（CA）的期限限制和中间证书颁发机构证书（ICA）的最长有效期建议。

Chrome在其公告中表示，他们正在探讨与以下内容相关的未来的策略要求：

·鼓励现代化的基础设施和敏捷性

·注重简洁性

·促进自动化

·减少误颁发

·加强问责与生态系统的完整性

·精简并改进域名验证的做法

·为后量子世界做好准备

DigiCert支持Chrome提出的“让互联网变得更安全”的目标。然而，我们也认识到，要在安全和管理之间找到平衡。正如我们在关于90天证书有效期的博客文章中所提到的那样，虽然在过去我们支持证书生命周期的缩短，但是对于已泄露的证书来说90天太长了，而对于行业转型和域名注册来说90天又太短了。探索其他能鼓励客户改用真正的短期证书的做法会更有意义。

同样，Chrome建议每七年轮换一次根CA，且其他ICA的最长有效期为三年。目前，根CA每25年轮换一次，ICA永久有效。虽然在过去我们支持缩短ICA的有效期，但精确的有效期应该在安全性和实用性之间取得有意义的平衡。让我们更深入地研究这个问题。

什么是根和ICA？

根是一种自签名证书，它将CA的身份绑定到其根公钥，根公钥是它用来对其分发的所有其他ICA进行签名的公钥。ICA证书包含用于对其他ICA或最终实体证书进行签名的公钥，以及关于CA遵循哪些策略、签署什么类型的证书、在哪个根之下所颁发及相关身份等其他元数据。

最终实体证书和ICA证书从其签名者处获得信任，签名者证明证书中的所有信息都有效、正确，并且可以信任。根证书无法自证其值得信任，根证书通过被包含在浏览器根程序的受信任根证书列表中来获得信任。

根证书需要在所有根程序中都可用，并需要被分发到绝大多数平台，然后才能被客户所依赖。这一过程通常被称为获得普遍性，往往需要几年时间。因此，通常情况下根证书的有效期最长，而SSL证书的有效期最短。

为什么要对其进行轮换？

轮换ICA的原因是为了确保符合现代标准，这也是轮换最终实体证书的原因。策略在不时地变化和改进，出于兼容性的原因，行业往往会基于未来的发展而更改策略。ICA轮换可以确保这些策略的改进能在合理的时间范围内普及到所有ICA。因此，缩短ICA有效期并不总是一件坏事，特别是考虑到现行的永久有效期。

对于根来说，轮换的优势不太明显。如上所述，根有意地包含极少的信息，因为它们旨在提供一种长期的方法来验证特定ICA是否确实属于根程序中的特定受信任CA。一些历史根是在更宽松的合规环境中产生的，有些根甚至可能在审计覆盖方面存在差距，它们的消失对生态系统有好处，但是根的转换非常复杂，需要权衡其优势与风险。特别是从历史上看，根程序引入新根的速度一直很慢，这需要大幅改进才能实现谷歌提出的从创建根到普及仅需两年的愿景。目前根嵌入需要三年时间，而且实现根普遍性还需要三年时间，因此最长七年的有效期不现实。尽管谷歌可能能够更快地实现根嵌入，但Web PKI的价值之一是在整个生态系统中实现根的分发。无论用户通过Chrome、Apple还是Mozilla访问您的网站，都不需要不同的根。这意味着用户代理根存储中最慢的一员决定着根轮换的速度。其中一些用户代理没有参加CA/B论坛，也没有表示其需要快速的根轮换。

有一种方法可以绕过根嵌入的漫长过程：在程序包中添加额外的链。实际上，至少需要一个四链根才能使此计划发挥作用。首先，一个链接到所有事物的主根，赋予其普遍性。其次，在Chrome和其他快速更新的浏览器中嵌入的一个根。第三，颁发最终实体证书的颁发CA。这种设计的问题在于，它不利于所有用户代理而有利于Chrome。相比使用快速根替换的人，任何使用长链的人都会体验到较慢的速度。请注意，这实际上不会加快TLS连接速度；这只会让每一个没有参与该计划的代理都变得更慢。

轮换根和ICA具有破坏性，尤其是对于那些使用证书固定的人。

根和ICA的轮换会严重影响客户，并可能对行业造成严重的破坏性影响，因为这往往涉及对受影响服务器的手动更新。此外，尽管DigiCert强烈建议不要固定证书，但许多客户还是固定了根和ICA。证书固定的风险极高，并且在密钥泄露情况下将使证书无法替换，从而让黑客能够对网站造成长期的破坏，并使客户难以对证书问题进行响应。事实上，谷歌是最早（2011年）使用证书固定的公司之一，但没过多久，证书固定的风险就得以显现。无论如何，使用证书固定的客户应该尽快停止这种做法，而有关更频繁地轮换根和ICA的讨论再次提醒了固定证书的客户要停止这种做法。

DigiCert能够帮助客户领先于不断发展变化的要求

然而，客户应该意识到，DigiCert的根无处不在，而且我们在轮换ICA方面拥有丰富的经验。此外，我们的解决方案，例如DigiCert®Trust Lifecycle Manager等，能让客户更轻松地领先于不断发展变化的合规要求及威胁。DigiCert Trust Lifecycle Manager跨公用和私有信任将不限定CA的证书管理与PKI服务相集成，以提供集中式可见性和控制，防止业务中断，并保护身份和访问的安全。DigiCert Trust Lifecycle Manager是一种全栈解决方案，可帮助企业始终遵循不断发展变化的行业标准。

作为由国家权威机构许可设立的可信网络安全认证服务商，天威诚信自2000年便将DigiCert TLS证书引入中国，为国内用户提供可靠、便捷的证书及认证服务。二十多年来，双方在合作过程中积累了丰富的行业最佳实践经验，共同打造了完善的联合服务机制，依托证书服务持续为国内用户提供安全可靠的数字信任建设方案，赋能千行百业的数字化转型。有关DigiCert和其他认证服务事宜，请关注天威诚信官方网站和其他社交媒体平台，获取最新信息。