行业新闻与博客
一年证书
SSL / TLS 证书的最大有效期现在为一年
从 9月1日开始,SSL / TLS 证书的发布时间不得超过 13 个月(397 天)。苹果公司在三月份在布拉迪斯拉发举行的 CA / 浏览器论坛春季面对面活动中首次宣布了这一更改。
然后,上周,在 CA / B 论坛的夏季活动(虚拟举行)上,Google 宣布了将苹果的变化与自己的根程序相匹配的意图。
还有一个浏览器驱动的投票,旨在使行业的基线要求与新的根程序更改保持一致。论坛目前正在辩论这个问题。
SSL / TLS 证书寿命缩短的原因
从高级的理论角度来看,寿命较短的证书有两个主要好处:
第一个是技术组件–更长的使用寿命意味着有机地推出更新或更改需要更长的时间。一个真实的例子就是从 SHA1 到 SHA2 的过渡。除非您要撤销一大堆证书并强迫客户重新颁发证书,否则可能要花费数年才能替换所有旧证书。对于 SHA1,花了三个时间。这会带来风险。
另一个好处与身份有关–用于验证身份的信息应保持信任多长时间?验证之间的时间越长,风险越大。谷歌表示,在理想的世界范围内,验证大约每六个小时进行一次。
在 2015年之前,您可以获得长达五年的 SSL / TLS 证书。减少到三个,然后在 2018年再次减少到两个。在 2019年底,在 CA / B 论坛上提出了将其缩减为一年的选票-证书颁发机构对其进行了否决。
那么,为什么证书仍然减少到一年呢?
CA / Browser 论坛是一个行业团体,其开会以就发行可信数字证书的一组基线要求进行投票。但是,它不是理事机构。即使 CA 表示担心并且不愿意再次降低最大有效性,但是 Apple 和 Google 完全有权根据自己的意愿更新其根程序的策略。
证书颁发机构和浏览器具有相互依赖的关系。浏览器需要使用证书来确定有关网站的信任并帮助保护连接。在 CA 方面,如果浏览器不信任公共证书有什么用?
这一切的管理方式是通过根程序。注意,有四个主要的根程序是 Microsoft,Apple,Mozilla 和 Google。
顺便说一句,您会注意到这四个在桌面和移动设备上都落后于主要浏览器。为了使 CA 的证书受到根程序的信任,并通过扩展使用它们的浏览器和 OS 的信任,它必须遵守该根程序的准则。CA / B 论坛是一个行业论坛,可以理想地帮助促进对根程序(以及生态系统本身)的更改。
但是作为浏览器参与的根程序仍然可以单方面采取行动,并根据需要进行更改。当发生这种情况时,对互操作性的需求基本上表明,无论根程序策略具有最严格的标准,它都会成为新的事实上的基准要求。
那就是我们到达这里的方式。现在,让我们谈谈这对您的网站意味着什么。
SSL / TLS 有效期缩短对网站所有者意味着什么
该证书将于 2020年9月1日生效。因此,如果您使用的是 9月1日之前签发的两年期证书,则该证书将一直有效,直到其原始到期日期为止。未来两年您将无法续约。
换句话说,您必须在 9月1日之前获得两年的证书。之后,它们将被降级为历史桌面回收站。
从更大的角度来看,这可能是开始考虑自动执行更多证书生命周期管理功能的好时机。特别是对于管理数十个公共信任的网站证书的大型组织,也适用于使用公共信任的电子邮件证书的组织,以及使用私有 CA 或基于 PKI 的电子签名的任何组织。您可能还考虑将某些证书从公共信任转移到私人信任,这也有助于管理–您甚至可以使用该方法颁发具有更长有效期的证书。
否则,根程序继续前进以缩短有效性的方式进行处理–在将来的某个时候,组织将不得不被迫自动执行许多此类操作。
本文由机器译制
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服