行业新闻与博客

截至 9月，所有公共信任的 TLS 证书的寿命必须为 398 天或更短。

根据苹果公司 3月份的一份声明，该公司宣布将“减少 TLS 服务器证书的最大允许使用期限”，这是其为提高网络安全性而不断努力的一部分。

苹果声明声称，在 2020年9月1日或之后发布的 TLS 服务器证书“有效期不得超过 398 天。” 具体而言，此更改将仅影响从预装了 iOS，iPadOS，macOS，watchOS 和 tvOS 的根 CA 颁发的 TLS 服务器证书。

此外，此更改将仅影响 2020年9月1日或之后发布的 TLS 服务器证书；在此日期之前颁发的任何证书都不会受到此更改的影响。声明说：“违反这些新要求的 TLS 服务器连接将失败。” “这可能会导致网络和应用失败，并阻止网站加载。”

Apple 建议颁发的证书的最长有效期为 397 天，并且此更改不会影响从用户添加或管理员添加的根 CA 颁发的证书。

根据 Venafi 的说法，在过去十年中，证书有效期限的变化之间的间隔一直在缩小。研究发现，2011年之前，证书的使用期限为 8-10年（96 个月），在过去的十年中，其使用期限逐渐减少，到 2015 年降至五年，然后降至三年，最终降至 13 个月，与 2011年相比降低了 51％。 2020年。

Venafi 安全战略和威胁情报副总裁 Kevin Bocek 说：“苹果公司单方面减少机器身份使用期限的举动将深刻影响全球的企业和政府。”

“证书生命周期更改之间的间隔正在缩小，与此同时，证书生命周期本身也在缩短。此外，需要机器身份的机器数量（包括 IoT 和智能设备，虚拟机，AI 算法和容器）也在飞速增长。”

他继续声称，如果生命周期更改之间的间隔按照当前的节奏继续进行，那么很可能我们会看到所有公共信任的 TLS 证书的证书寿命到 2021年初都缩短到了六个月，而到 2021年初可能会缩短到三个月。明年年底。

他说：“苹果，谷歌或 Mozilla 的行动可以实现这一目标。” “最终，组织消除这种外部，外部风险的唯一方法是全面的可见性，全面的情报和针对 TLS 机器身份的完全自动化。”

本文由机器译制