信息來源:cnBeta
由 Web 瀏覽器制造商����、軟件開發(fā)人員和安全證書頒發(fā)機構組成的行業(yè)團體 CA/Browser Forum�����,正在考慮將 HTTPS 證書的有效期從 27 個月縮短到 13 個月�����。關于這樣的提案�����,已經不是第一次提出�����。在 2017 年時�����,CA/Browser Forum 就否決了一項將證書有效期從 39 個月縮短至 13 個月的提案�����。
而早在一年前����,證書的最長有效期已經從 39 個月降至 27 個月。
我們都知道�����,HTTPS 證書用于加密瀏覽器和站點之間的連接����,幫助軟件確定沒有人篡改或竊聽這些連接。
如果減少 TLS/SSL 證書有效的時間�����,網站必須更頻繁地更新其證書����。理論上,這樣的證書有效期也有助于減少欺詐活動����,如果是偷來的證書則很快會失效�����,被遺棄的網站也會更快地過期�����。這將迫使他們使用最新和最推薦的加密和散列證書�����,而不是使用不安全算法的老化證書����。
不過����,本周一時,DigiCert 的 Timothy Hollebeek 卻反對將證書有效期縮短至 13 個月�����,他認為�����,縮短證書壽命確實帶來的好處����,但意味著要有更好的方法來確保證書是最新的和安全的,同時也存在一些麻煩�����,企業(yè)不得不每年續(xù)簽一次付費證書����,并且增加其成本。
換句話說����,減少有效期可能會促使企業(yè)免費使用 Let's Encrypt TLS/SSL,就不會向 Digicert 這樣的機構支付費用�����。Let's Encrypt 可以免費發(fā)放 90 天的 HTTPS 證書����,使用提供的軟件客戶端來自動更新和部署證書�����,而由于幾乎所有瀏覽器和操作系統(tǒng)都支持 Let's Encrypt TLS/SSL 證書����,導致該服務正給向 HTTPS 證書收費的證書頒發(fā)機構帶來巨大壓力�����。
Hollebeek 稱:
將證書壽命迅速縮短到一年����,甚至更少,對于許多依賴數(shù)字證書保護系統(tǒng)的公司來說����,這將帶來巨大的成本。這些費用不會換來更加安全的改進�����,并且這項提案對從事非法活動或冒充合法公司的非法分子不會有任何影響�����。最主要的一點是�����,減少證書壽命的任何好處都是屬于理論性的�����,在短期內要付諸實際的話����,產生的風險和成本也將難以預測。
該提案于今年早些時候在谷歌員工 Ryan Sleevi 的一次會議上提出����,目前仍處于草案階段,還沒有關于何時進行表決的消息�����。
