CA机构不会直接使用根证书签发服务器SSL证书,因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。所以又创建了中间证书。
根证书、中间证书、SSL证书的有效期时长是不一样的。查看服务器证书是很简单的,一般可以直接点击地址栏旁的安全锁就可以看见该网站SSL证书的有效期。
如何查看根证书、中间证书、SSL证书有效期?
但是要查看该SSL证书链上的根证书和中间证书的有效期,可以用SSL证书检测工具,可以看到完整证书链信息,包括他们的有效期时长。
如上图,AAA Certificate Services根证书的有效期约10年,中间证书也是10年,并附上了剩余时长。而最终网站使用的服务器SSL证书的有效期是1年多一点。
为什么是1年多一点?原因在于CA/B论坛最新规定了SSL证书的有效期时长不能超过398天,部分CA是1年的有效期,然后有赠送了30天有效期,比如sslTrus(锐安信)。
不管哪个CA签发的SSL证书,根证书和中间证书的有效期都比最终SSL证书时长短。根证书和中间证书的有效期一般是10年,而SSL证书的有效期是1年,缩短SSL证书的有效期目的是为了提升网站的安全性。这也是服务器SSL证书的职能所在!