ZKX's LAB

SSLTLS证书的最长有效期现在是一年

2020-07-24新闻14

从9月1日开始,SSL/TLS证书的颁发时间不能超过13个月(397天)。这一变化最早是由苹果在3月份布拉迪斯拉发的CA/Browser论坛春季面对面活动上宣布的。

上周,在CA/B论坛的夏季活动(虚拟举行)上,谷歌宣布打算将苹果的改变与自己的根程序相匹配。

还有一个由浏览器驱动的投票,旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这一问题。

我们意识到这里可能有很多东西需要解开,所以为了提供一点清晰的信息,我们将在这篇博客文章中介绍它。

缩短SSL/TLS证书寿命的原因

从高层次的理论观点来看,较短寿命的证书有两个主要好处:

第一个是技术组件——更长的寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子是SHA1到SHA2的转换。除非您要撤销一大堆证书并强制客户重新颁发证书,否则可能需要数年时间才能将所有旧证书都替换掉。就SHA1来说,花了三个。这就产生了风险。

另一个好处与身份有关——用于验证身份的信息应该保持多长时间的信任?验证间隔越长,风险越大。谷歌曾表示,在一个理想的世界里,域名验证大约每6小时进行一次。

在2015年之前,您可以获得最长5年的SSL/TLS证书。到了2018年,又减少到了两个。2019年底,CA/B论坛上提出了一项投票,将投票时间缩短至一年,但被证书颁发机构彻底否决。

那么,为什么证书仍然被缩短为一年?

CA/Browser论坛是一个行业组织,它开会就发行可信数字证书的一系列基线要求进行投票。然而,它不是一个管理机构。尽管中情局表示担心并不愿再次降低max validity,但苹果和谷歌完全有权在他们认为合适的情况下更新根程序的政策。

我们知道我们刚刚向您抛出了一大堆行业术语,所以让我们快速退一步,确保上一段有意义。

证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定网站的信任度,并帮助确保连接的安全。在CA方面,如果浏览器不信任公共证书有什么用?

所有这些都是通过根程序管理的。有四个主要的根程序值得注意:

微软

苹果

Mozilla公司

Google(最后两个被称为Googzilla–lol)

顺便说一句,你会注意到这四种浏览器也落后于桌面和手机上的主要浏览器。为了使CA的证书受到根程序的信任,并扩展到使用它们的浏览器和操作系统,它必须遵守根程序的指导原则。CA/B论坛是一个行业论坛,理想情况下有助于促进根程序(以及生态系统本身)的更改。

但是作为浏览器参与的根程序仍然可以单方面操作,并在他们认为合适的情况下进行更改。当这种情况发生时,对互操作性的需求基本上决定了无论根程序策略具有最严格的标准,都将成为新的实际基线需求。

短的SSL/TLS有效性对网站所有者意味着什么

首先,这项法案将于2020年9月1日生效。因此,如果您使用的是在9月1日之前颁发的两年期证书,那么您的证书将在其原始到期日之前保持有效。你只是在未来两年内无法续约。

或者换一种说法,你必须在9月1日之前拿到两年期的证书。之后,它们将被归入历史的桌面回收站。

从更大的角度来看,现在可能是开始考虑自动化更多证书生命周期管理功能的好时机。尤其是对于管理数十个公共可信网站证书的大型组织,也适用于使用公共可信电子邮件证书的组织,以及利用基于私有CA或PKI的电子签名的任何组织。您还可以考虑将一些证书从公共信任转移到私有信任,这也有助于管理–您甚至可以使用该方法颁发有效期更长的证书。

否则,随着根程序继续要求缩短有效性,事情的发展方向是:组织在未来的某个时候将被迫自动化许多这些事情。

最好现在就去探索,而不是把脚压在火上。

【参考来源:globalsign】

#电脑使用技巧

随机阅读

qrcode
访问手机版