从今天开始,SSL/TLS证书的最长使用期限为398天
发布时间:2022-03-11 18:32:43 556
相关标签:

为了提高安全性,苹果、谷歌和Mozilla将拒绝在各自的网络浏览器中使用过期超过13个月(或398天)的公开数字证书。
SSL/TLS证书的使用寿命在过去十年中显著缩短。2011年,由认证机构和浏览器软件供应商组成的联合会——认证机构浏览器论坛(CA/Browser Forum)规定了五年的期限,将证书有效期从8年降至10年。
随后,2015年,它被缩短为三年,2018年又被缩短为两年。
尽管去年9月的一次投票否决了将证书有效期缩短至一年的提议,但这项措施得到了苹果、谷歌、微软、Mozilla和Opera等浏览器制造商的压倒性支持。
然后在今年2月,苹果成为第一家宣布打算拒绝9月1日当天或之后签发的有效期超过398天的新TLS证书的公司。自那以后,谷歌和Mozilla都效仿,实施了类似的398天限制。
在强制执行日期之前颁发的证书不会受到影响,也不会影响从用户添加的或管理员添加的根证书颁发机构(CA)颁发的证书。
“与违反这些新要求的TLS服务器的连接将失败,”苹果在一份支持文件中解释道。“这可能会导致网络和应用程序故障,并阻止网站加载。”
谷歌打算拒绝违反有效性条款的证书,错误为“ERR_CERT_validity_TOO_LONG”,并将其视为错误颁发。
此外,一些SSL证书提供商,如Digicert和Sectigo已经停止颁发有效期为两年的证书。
为了避免意外后果,苹果建议证书的最长有效期为397天。
为什么证书寿命短?
设置证书生命周期上限可以提高网站安全性,因为它缩短了利用受损或伪造证书进行钓鱼和恶意软件攻击的时间。
还不止这些。由于性能限制,移动版本的Chrome和Firefox不会主动检查证书状态,导致已吊销证书的网站在加载时不会向用户发出任何警告。
对于开发人员和网站所有者来说,开发是使用Let's Encrypt和EFF's CertBot等工具实现证书自动化的好时机,这些工具提供了一种无需手动干预即可轻松设置、颁发、更新和替换SSL证书的方法。
Keyfactor的首席安全官克里斯·希克曼(Chris Hickman)说:“过期证书仍然是一个巨大的问题,每年都会因断电而给公司造成数百万美元的损失。”。“除此之外,更频繁的过期证书警告可能会导致web访问者更容易绕过安全警告和错误消息。”
“然而,证书订阅者经常忘记如何或何时更换证书,导致服务因意外过期而中断[…]让他们无法大规模管理这些新的短期证书。"
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报