从9月1日开始,新的TLS证书的有效期将从之前的27个月(825天)改为398天(一年多一点)。
在过去十年中,SSL / TLS证书的寿命已大大缩短。在2011年,由证书颁发机构和浏览器软件供应商组成的证书颁发机构/浏览器论坛(CA / Browser Forum)规定了五年的限制,使证书的有效期从8-10年缩至更短。随后在2015年将其缩短为三年,到2018年又缩短为两年。
尽管去年9月的一次投票中否决了将证书有效期减少到一年的提议,但该措施得到了苹果,谷歌,微软,Mozilla和Opera等浏览器制造商的压倒性支持。
然后在今年2月,Apple在 CA / Browser Forum 面对面会议上向SSL / TLS证书行业宣布了突破性新闻。它已独立宣布,从2020年9月1日开始,其所有iPhone和Mac操作系统上的Safari浏览器将不再信任有效期超过398天的SSL / TLS叶子证书。换句话说,在该日期之后颁发的有效期超过一年的任何叶子证书都将被Safari浏览器归类为不受信任的证书。其他类型的SSL / TLS证书(包括中间件和根)不受影响。
苹果在支持文件中解释说:“违反这些新要求的TLS服务器连接将失败。” “这可能会导致网络和应用失败,并阻止网站加载。”对于Google而言,它打算以错误“ERR_CERT_VALIDITY_TOO_LONG”拒绝违反有效性条款的证书,并将其视为错误签发。此外,某些SSL证书提供商(例如Digicert和Sectigo)已经停止颁发有效期为两年的证书。
为避免意外后果,Apple建议颁发证书的最长有效期为397天。
为什么缩短证书寿命?
缩短证书的有效期提高了网站的安全性,开发人员使用具有最新加密标准的证书来提高网站的安全性,并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击、被忽略的证书的数量,短期证书将确保人们在大约一年内迁移到更安全的证书。此外,由于性能限制,Chrome和Firefox的移动版本无法主动检查证书状态,从而导致加载已吊销证书的网站而不会向用户发出任何警告。
某首席安全官克里斯·希克曼(Chris Hickman)表示:“过期的证书仍然是一个巨大的问题,每年因停机而给公司造成数百万美元的损失”“最重要的是,更频繁的过期证书警告可能会导致Web访问者更容易绕过安全警告和错误消息。但是,证书用户经常忘记何时更换证书,从而由于意外过期而导致服务中断,使他们缺乏足够的能力来大规模管理这些新的较短寿命的证书。”
参考资料
从今天开始,SSL / TLS证书的最大使用寿命为398天:
https://thehackernews.com/2020/09/ssl-tls-certificate-validity-398.html
再见SSL / TLS证书2年最大有效期:
https://www.febhost.com/news/detail/628
图片来源:由skylarvision在Pixabay上发布
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:thehackernews.com
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照