9月1日开始,新的TLS证书的最大证书寿命将从之前的27个月(825天)更改为398天(一年多一点)。
为了提高安全性,苹果、谷歌和Mozilla将在各自的浏览器中拒绝有效期超过13个月(或398天)的数字证书。
在过去的十年中,SSL/TLS证书的寿命一直在缩短。2011年,由数字证书认证机构和浏览器软件供应商组成的认证机构浏览器联盟(CA/Browser Forum)将SSL/TLS证书有效期从8-10年下调至5年。
尽管该联盟在去年9月的一次投票否决了将证书有效期减少到一年的提议,但该措施得到了苹果,谷歌,微软,Mozilla和Opera等浏览器制造商的强烈支持。
今年2月,苹果成为第一家宣布打算拒绝在9月1日或之后发布的有效期超过398天的新TLS证书的公司。从那以后,谷歌和Mozilla也相继执行了类似的398天限制。
在该新要求执行日期之前颁发的证书不会受到影响,用户添加的或管理员添加的根证书颁发机构(CAs)颁发的证书也不会受到影响。
苹果公司在一份支持文件中解释道:“违反这些新要求的TLS服务器连接将会失败。”这可能会导致网络和应用程序失败,并阻止网站加载。
对于Google而言,它打算以错误“ ERR_CERT_VALIDITY_TOO_LONG”拒绝违反有效期要求的证书,并将其认定为证书的错误签发。
此外,一些SSL证书提供者,如Digicert和Sectigo已经停止签发两年有效期的证书。
为避免意外后果,苹果建议证书的最高有效期为397天。
为什么要缩短证书的寿命
缩短证书的寿命能够一定程度上提高网站的安全性,因为它减少了利用泄露或伪造证书来发动网络钓鱼和恶意软件攻击的时间。
另外还有一个原因是,由于性能限制,移动版本的Chrome和Firefox不会主动检查证书状态,导致网站在没有向用户发出任何警告的情况下加载已撤销的证书。
对于开发人员和网站所有者来说,面对证书寿命一直缩短的情况,现在是使用Let’s Encrypt和EFF的CertBot等工具实现证书自动化的好时机,这些工具提供了一种简单的方法来设置、签发、更新和替换SSL证书,而无需人工干预。
Keyfactor的首席安全官克里斯·希克曼(Chris Hickman)表示:证书过期一直都是一个大问题,每年都会因网络中断而给公司造成数百万美元的损失。最重要的是,如果网络上一直出现各种过期的证书警告可能会让访问网站的用户习惯性选择避开安全警告和错误信息,导致安全事件的发生。”
但是从另一个角度看来,如果证书的寿命过短,因为使用证书的开发者经常忘记如何或何时更新证书,导致他们的服务因证书意外过期而中断,他们没有能力大规模管理这些有效期过短的数字证书。
发表评论
您还未登录,请先登录。
登录