信息來(lái)源:cnBeta
由 Web 瀏覽器制造商�、軟件開(kāi)發(fā)人員和安全證書(shū)頒發(fā)機(jī)構(gòu)組成的行業(yè)團(tuán)體 CA/Browser Forum�,正在考慮將 HTTPS 證書(shū)的有效期從 27 個(gè)月縮短到 13 個(gè)月。關(guān)于這樣的提案�,已經(jīng)不是第一次提出。在 2017 年時(shí)��,CA/Browser Forum 就否決了一項(xiàng)將證書(shū)有效期從 39 個(gè)月縮短至 13 個(gè)月的提案�。
而早在一年前�,證書(shū)的最長(zhǎng)有效期已經(jīng)從 39 個(gè)月降至 27 個(gè)月。
我們都知道��,HTTPS 證書(shū)用于加密瀏覽器和站點(diǎn)之間的連接�,幫助軟件確定沒(méi)有人篡改或竊聽(tīng)這些連接。
如果減少 TLS/SSL 證書(shū)有效的時(shí)間�,網(wǎng)站必須更頻繁地更新其證書(shū)��。理論上�,這樣的證書(shū)有效期也有助于減少欺詐活動(dòng)�,如果是偷來(lái)的證書(shū)則很快會(huì)失效,被遺棄的網(wǎng)站也會(huì)更快地過(guò)期��。這將迫使他們使用最新和最推薦的加密和散列證書(shū)�,而不是使用不安全算法的老化證書(shū)。
不過(guò)�,本周一時(shí),DigiCert 的 Timothy Hollebeek 卻反對(duì)將證書(shū)有效期縮短至 13 個(gè)月�,他認(rèn)為,縮短證書(shū)壽命確實(shí)帶來(lái)的好處�,但意味著要有更好的方法來(lái)確保證書(shū)是最新的和安全的,同時(shí)也存在一些麻煩�,企業(yè)不得不每年續(xù)簽一次付費(fèi)證書(shū),并且增加其成本��。
換句話說(shuō)��,減少有效期可能會(huì)促使企業(yè)免費(fèi)使用 Let's Encrypt TLS/SSL�,就不會(huì)向 Digicert 這樣的機(jī)構(gòu)支付費(fèi)用。Let's Encrypt 可以免費(fèi)發(fā)放 90 天的 HTTPS 證書(shū)�,使用提供的軟件客戶(hù)端來(lái)自動(dòng)更新和部署證書(shū),而由于幾乎所有瀏覽器和操作系統(tǒng)都支持 Let's Encrypt TLS/SSL 證書(shū),導(dǎo)致該服務(wù)正給向 HTTPS 證書(shū)收費(fèi)的證書(shū)頒發(fā)機(jī)構(gòu)帶來(lái)巨大壓力�。
Hollebeek 稱(chēng):
將證書(shū)壽命迅速縮短到一年,甚至更少�,對(duì)于許多依賴(lài)數(shù)字證書(shū)保護(hù)系統(tǒng)的公司來(lái)說(shuō)��,這將帶來(lái)巨大的成本��。這些費(fèi)用不會(huì)換來(lái)更加安全的改進(jìn)��,并且這項(xiàng)提案對(duì)從事非法活動(dòng)或冒充合法公司的非法分子不會(huì)有任何影響��。最主要的一點(diǎn)是�,減少證書(shū)壽命的任何好處都是屬于理論性的,在短期內(nèi)要付諸實(shí)際的話�,產(chǎn)生的風(fēng)險(xiǎn)和成本也將難以預(yù)測(cè)。
該提案于今年早些時(shí)候在谷歌員工 Ryan Sleevi 的一次會(huì)議上提出��,目前仍處于草案階段��,還沒(méi)有關(guān)于何時(shí)進(jìn)行表決的消息�。
